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(54) TiUe: PUBLIC AND PRIVATE KEY CRYPTOGRAPHIC METHOD 

(54) Titre: PROCEDE CRYPTOGRAPHIQUE A CLES PUBLIQUE ET PRIVEE 




(57) Abstract 

The invention concerns a cryptographic method for generating public keys (K) and private keys (K*) which consists in: selecting 
two distinct first numbers p and q. of neighbouring value and calculating the number n equal to the product of p.q; calculating the lowest 
common multiple of the numbers (p-1) and (q-1): A(n) - PPCM(p-l, q-1); determining a number g, 0<g<n2 which verifies the two 
following conditions: a) g is invertible modulo n^; and b) ord(g.n2) = 0 mod n. The public key is formed by the parameters n and g and 
its private key is formed by the parameters p, q and A(n)or by the parameters p and q. An encryption method for a number m representing 
a message, 0<m<n consists in calculating the cryptogram c 0 g'^mod n^. 



(57) Abr^^ 



Un pToc6d6 ciyptogrz^hique comprend un pToc6d6 de g6n6ration de cl6s publique (K) et priv6e (K') comprcnant la selection de deux 
nombres premiers p et q distincts, de taille voisine et le calcul du nombre n dgal au produit p.q; le calcul du plus petit commun multiple 
des nombres (p-1) et (q-1): A(n)«PPCM(p-l, q-1); la ddtermination d'un nombre g, 0<g < n^ qui v^rifie les deux conditions suivantes: 
a) g est inversible modulo n^ et b) oTd(g,n2) = 0 mod n. La cl6 publique est formde par les paramdtres n et g et sa c\6 priv6e est fomi6e 
par les paramfetres p. q et A(n) ou par les param^tres p et q. Un proc^6 de chiffrement d*un nombre m repr^sentatif d'un message. 0< < n 
consiste h calculer le cryptogramme c^g"^ mod n^. 
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PROCEDE CRYPTOGRAPHIQUE A CLES 
PUBLIQUE ET PRIVEE 

La presente invention concerne un precede 
cryptographique a cles publique et privee. II est utilisable 
dans toutes les applications dans lesquelles il est 
necessaire d'assurer la confidential ite des messages 
5 transmis sur un canal quelconque et/ou d'identifier avec 
certitude un disnositif avec iequel on echange des 
messages. 

La confidentialite de messages transmis entre deux 
dispositifs A et B sur un canal de communication 
10 quelconque est obtenue en chiffrant Tinformation 
transmise pour la rendre inintelligible aux personnes a qui 
elle n'est pas destinee. L'identification certaine d'un 
dispositif est lui base le calcul de la signature numerique 
d' un message. 

15 En pratique, deux types de pfocede cryptographique 

peuvent etre utilises celui dit syrrietrique, a cles secretes, 
dont un exemple bien connu est le DES. ..celui dit 
asymetrique, utilisant une paire de cles publique et privee 
et decrit dans « New directions in Cryptography » IEEE 

20 Transactions on Information Theory, nov. 1976, par MM 
Diffie et Hellman. Un exemple bien connu de precede 
asymetrique est le RSA, du nom de ses inventeurs Ronald 
Rivest, Adi S_hamir et Leonard A^dleman. On peut trouver 
une description de ce procede RSA dans le brevet 

25 americain US 4, 405, 829. 

Dans I'invention, on s'interesse plus particulierement 
a un procede cryptographique asymetrique. 
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Un precede de chiffrement selon un procede 
cryptographique asymetrique consiste prixic ipalement, pour 
un emetteur A qui veut envoyer confidentieUement un 
message a un destinataire B a prendre connai ssance, par 
5 exemple dans un annuaire, de la cle publique Kb du 
destinataire B, a appliquer le procede de chiffrement E sur 
le message m a transmettre en utilisant cette cle publique, 
et a envoyer au destinataire B, le cryptogramme c 
resultant; c= EKsCni). 

10 Ce procede consiste principalement pour le 

destinataire B, a recevoir le cryptogramme c, et a le 
dechiffrer pour obtenir le message d'origine m, en 
appliquant le procede de dechi ffrement D sur le 
cryptogramme c en utilisant la cle privee K'bqu'il est le 

15 seul a connaitre: m = Dk'b(c). 

Selon ce procede nMmporte qui pent envoyer un 
message chiffre au destinataire B, mais seul ce dernier est 
capable de le dechiffrer. 

On utilise habituellement un procede cryptographique 

20 asymetrique pour la generation/verification de signature. 
Dans ce contexte, un utilisateur qui veut prouver son 
identite utilise une cle privee, connue de lui seul, pour 
produire une signature numerique s d'un message m, 
signature qu'il transmet au dispositif destinataire. Ce 

25 dernier met en oeuvre la verification de la signature en 
utilisant la cle publique de 1' uti lisateur. Tout dispositif a 
ainsi la capacite de verifier la signature d'un utilisateur, 
en prenant connaissance de la cle publique de cet 
utilisateur et en Tappliquant dans Talgorithme de 

30 verification. Mais seul I'utilisateur concerne a la capacite 
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de generer la bonne signature utilisant sa cle privee. Ce 
precede est par exemple beaucoup utilise dans les systemes 
de controle d'acces ou de transactions bancaires. II est en 
general couple a Tutilisation d'un precede de chiffrement, 

5 pour chiffrer la signature avant de la transmettre. 

Pour cette generation/verification de signatures 
numeriques, on peut utiliser en pratique des precedes 
cry ptographiques asymetriques dedies a cette application, 
tel le DSA (Digital Signature Algorithm) ^ qui correspond a 

10 un standard americain propose par le US National Institute 
of Standards and Technology. On peut en outre utiliser le 
RSA qui a la propriete de pouvoir etre utilise aussi bien 
en chiffrement qu'en generation de signature. 

Dans rinvention, on s'interesse a un precede 

15 cryptographique qui peut etre utilise pour le chiffrement 
des messages et pour la generation de signature numerique. 
Dans I'etat actuel de la technique, seul le RSA, dent il 
existe de nombreuses variantes de mise en oeuvre, offre 
cette double fonctiennalite. 

20 Le RSA comprend une etape de generation des cles 

publique K et privee K' pour un dispositif donne dans 
laquelle on precede de la fagon suivante : 

- on choisit deux grands nombres premiers p et q, 
distincts. 

25 - on calcule leur produit n = p.q. 

- on choisit un nombre e premier avec le plus petit 
commun multiple de (p-l)(q-l). En pratique, e est souvent 
pris egal a 3. 
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La cle publique K est alors formee par le couple de 
parametres (n,e) et la cle secrete K' est formee par le 
couple de parametres (p,q). 

En choisissant p et q de grande taille, leur produit n 
5 est aussi de grande taille. N est done tres difficile a 
factoriser : on est assure que Ton ne pourra pas retrouver 
la cle secrete K'=(p,q) a partir de la connaissance de n . 

Le precede de chiffrement d'un nombre m 
representant un message M, 0<m<n consiste alors, a 
10 effectuer le calcul suivant : 

c= EB(m)= m^'mod n 

au moyen de la cle publique K = (n,e). 

Le procede de dechiffrement consiste lui dans le 
calcul inverse suivant : 
15 m = c**mod(n) 

au moyen de la cle privee K'==(p,q), gardee secrete, 

ou 

1 

d= mod (p.l)(q-l). 

e 

On a vu que le RSA a la particularite d'etre utilisable 
pour la verification de signature. Le procede correspondant 

20 de generation de signature par un utilisateur A consiste a 
utiliser le procede de dechiffrement avec la cle secrete 
pour produire la signature s d'un nombre m representatif 
d'un message. On a ainsi : s = m^mod n. 

Cette signature s est transmise a un destinataire B. Ce 

25 dernier, qui connait m (par exemple, A transmet s et m), 
verifie la signature en effectuant I'operation inverse, c'est 
a dire en utilisant le procede de chiffrement avec la cle 
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publique de remetteur A. C'est a dire qu'il calcule 
v==s*mod n, et verifie v = m. 

En general, pour ameliorer la securite d'un tel 
precede de verification de signature, on applique 
5 prealablement une fonction de hachage sur le nombre m 
avant de calculer la signature, qui peut consister en des 
permutations de bits et/ou une compression. 

Quand on parle de message M a chiffrer ou a signer, 
il s'agit bien sur de messages numeriques, qui peuvent 

10 resulter d'un codage numerique prealable. Ce sent en 
pratique des chaines de bits, dont la taille binaire (nombre 
de bits) peut etre variable. 

Or un precede de cryptographic comme le RSA est tel 
qu'il permet de chiffrer avec la cle publique (n,e) 

15 n'importe quel nombre entre 0 et n-1. Pour Tappliquer a 
un message M de taille quelconque, il faut done en 
pratique couper ce message en une suite de nombres m qui 
verifieront chacun la condition 0<m<n. On applique alors 
le procede de chiffrement sur chacun de ces nombres. Dans 

20 la suite, on s'interesse done a I'application du procede 
cryptographique sur un nombre m representati f du message 
M. m peut-etre egal a M, ou en n'etre qu'une partie. On 
designe alors indifferemment dans la suite par m le 
message ou un nombre representati f du message, 

25 Un objet de I'invention, est un procede de 

cryptographic asymetrique different de ceux bases sur le 
RSA. 

Un objet de I'inverition, est un procede reposant sur 
d'autres proprietes, qui puisse s'appliquer aussi bien en 
30 chiffrement de messages qu'en generation de signatures. 
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Un objet de Tinvention, est un precede de 
cryptographic qui permette, dans certaines configurations, 
un temps de traitement plus rapide. 

Telle que caracterisee, I'invention concerne un 
5 procede cry ptographi que selon la revendi cat i o n 1. 

L'invention sera mieux comprise a la lecture de la 
description suivante , faite a titre indicatif et nullement 
limitatif de Tinvention et en reference aux dessins 
annexes dans lesquels : 
10 - la figure 1 est un schema fonctionnel d'un systeme 

de communication cry ptographique de type asymetrique; 

- la figure 2 est un schema fonctionnel d'un dispositif 
communiquant utilise dans un systeme de communication 
cryptographique selon I'invention; 

15 - la figure 3 est un organigramme d'une session de 

chiffrement/dechiffrement de messages utilisant le procede 
cryptographique selon I'invention; et 

- la figure 4 est un organigramme d'une session de 
generation/verification de signature utilisant le procede 

20 cryptographique selon I'invention. 

Pour bien comprendre I'invention, il est necessaire de 
faire quelques preliminaires mathematiques . 

Dans la description, on utilise les notations 
mathematiques suivantes : 
25 (1) Si a est un entier relatif et b un entier 

strictement positif, a mod b (a modulo b) est le residu 
modulaire de a relativement a b et designe I'unique entier 
strictement inferieur a b tel que b divise (a - a mod b), 

(2) (Z/bZ) designe Pensemble des residus modulo b et 
30 forme un groupe pour I'addition modulaire . 
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(3) (Z/bZ)* designe I'ensemble des entiers inversibles 
modulo b et forme un groupe pour la multiplication 
modulaire. 

(4) L'ordre d'un element a de (Z/bZ)* est le plus 
5 petit entier naturel ord(a,b) tel que a''''*^*'^^^ 1 mod b. 

(5) PPCM (a,b) designe le plus petit commun multiple 
de a et b. 

(6) PGCD(a,b) designe le plus grand commun diviseur 
de a et b. 

10 (7) X(a)designe la fonction de Carmichael de a. Si 

a = p.q, X.(a) = PPCM(p-l, q-1), 

(8) On note x = TRC(a , , . . . a^, bi,...bk) Punique 
solution, obtenue par la mise en oeuvre du Theoreme du 
Reste Chinois bien connu, du systeme d'equations 
15 modulaires suivant : 
x = ai mod b i 
x=a2modb2 

x= at mod b^. 

20 ou les entiers a, et bi sont donnes et ou, ViJ avec i^^^j, 

PGCD(bi, bj)=l . 

(9) On rappelle que la taille binaire d'un nombre a 
est le nombre de bits sur lesquels a s'ecrit. 

25 Soit maintenant un nombre n, entier, de taille 

arbitraire. L'ensemble Un={x<n^ /x=l mod n} est un sous- 
groupe multiplicatif de (Z/n^Z)V 



30 



Soit alors logn la fonction definie sur Tensemble Un 

par : 
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x-1 

logn(x)= 

n 

Cette fonction a la propriete suivante : 
V xeUn, V ye Un, logn(xy mod n^)= log„(x) + logn(y) 
mod n. 

Par consequent, si g est un nombre entier arbitraire 
5 appartenant a Un, on a pour tout nombre m, 0<m<n : 
lognCg"" mod n^) = m.logn(g) mod n. 

Cette propriete mathematique est a la base du procede 
de cryptographic mis en oeuvre dans rinvention qui va 
maintenant etre decrite. 

10 

La figure 1 represente un systeme de communication 
cryptographique, utilisant un procede cryptographique 
asymetrique. II comprend des dispositifs communiquants, 
dans Texemple A et B, sur un canal de communication 1. 
15 Dans Texemple, on a represente un canal bidirectionnel. 
Chaque dispositif contient une paire de cles publique K et 
pri vee K' . 

Les cles publiques sont par exemple publiees dans un 
fichier public 2 tel qu'un annuaire, que chaque dispositif 
20 peut consulter. Dans ce fichier public, on trouvera ainsi la 
cle publique du dispositif A et celle Kg du dispositif B. 

La cle privee K' de chaque dispositif est conservee 
par lui de fafon secrete, typiquement dans une zone 
securisee de memoire non volatile, Le dispositif A contient 
25 ainsi en memoire secrete sa cle privee K\ et le dispositif 
B contient ainsi en memoire secrete sa cle privee K'b- Us 
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conservent aussi leur cle publique, mais dans une zone 
memoire sans protection d'acces particuliere. 

Dans un tel systeme, le dispositif A peut chiffrer un 
message m en un cryptogramme Ca en utilisant la cle 

5 publique Kb du dispositif B; ce dernier peut dechiffrer Ca 
en utilisant sa cle privee K'b, qu'il conserve secretement. 
Inversement, , le dispositif B peut chiffrer un message m 
en un cryptogramme Cb en utilisant la cle publique Ka du 
dispositif A; ce dernier peut dechiffrer Cb en utilisant sa 

10 cle privee K'a, qu'il conserve secretement. 

Typiquement, chaque dispositif comprend au moins, 
comme represente sur la figure 2, des moyens de 
traitement 10, c'est a dire une unite centrale de traitement 
(CPU), comprenant notamment differents registres R pour 

15 le calcul, une interface de communication 11 avec le canal 
de communication, et des moyens de memorisation. Ces 
moyens de memorisation comprennent generalement une 
memoire programme 12 (ROM, EPROM, EEPROM) et une 
memoire de travail (RAM) 13 . En pratique, chaque 

20 dispositif conserve ses donnees secretes dans une zone 
d'acces securisee 120 prevue en memoire programme et ses 
donnees publiques dans une zone d*acces normal de cette 
memoire. La memoire de travail permet de conserver 
momentanement, le temps necessaire aux calculs, des 

25 messages a chiffrer, des cryptogrammes a dechiffrer, ou 
encore des resultats de calculs intermediaires. 

Les moyens de traitement et de . memorisation 
permettent ainsi d'executer des programmes lies a 
^application, et notamment d*effectuer les calculs 

30 correspondant a la mise en oeuvre du precede de 
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cryptographie pour le chiffrement /dechiffrement de 
messages et/ou la generation/verification de signatures 
selon I'invention. Ces calculs comprennent notamment, 
comme on le verra de fafon detaillee dans la suite, des 
5 elevations a la puissance, des residus et inversions 
modulaires . 

Les dispositifs peuvent encore comprendre un 
generateur 14 de nombre aleatoire ou pseudo-aleatoire r 
qui peut intervenir dans les calculs precites, dans 
10 certaines variantes de realisation. Ce generateur est 
encadre en pointille sur la figure 2. pour indiquer qu'il 
n'est pas necessaire a la realisation de toutes les variantes 
de realisation selon I'invention. 

Tous ces moyens du dispositif sont connectes a un bus 
15 d'adresses et de donnees 15. 

De tels dispositifs utilises dans I'invention sont bien 
connus, et correspondent par exemple a ceux qui sont 
utilises dans les systemes de communication 
cryptographique de I'etat de la technique, mettant en 
20 oeuvre le RSA. lis ne seront done pas detailles plus avant. 
Un exemple pratique de systeme de communication 
cryptographique. est le systeme forme des serveurs 
bancaires et des cartes a puce, pour la gestion de 
transactions financieres. Mais il existe de nombreuses 
25 autres applications, telle les applications liees au 
commerce electronique . 

Un premier mode de realisation de I'invention va 
maintenant etre detaille, au regard de 1' organigramme 
represente sur la figure 3. 
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Cet organigramme represente une sequence de 
communication entre un dispositif A et un dispositif B sur 
un canal de communication 20. Ces dispositifs 
comprennent au moins les moyens de traitement, de 
5 memorisation et de communication decrits en relation avec 
la figure 2. 

Le precede de cryptographic selon I'invention 
comprend un precede de generations des cles publique K et 
privee K' . 

10 Selon rinvention, ce procede de generation des cles 

publique et privee d'un dispositif comprend les etapes 
suivantes : 

- selection de deux grands nombres premiers p et q 
distincts et de taille voisine; 

15 - calcul du nombre n egal au produit p.q; 

- calcul du nombre X.(n) = PPCM(p- 1 , q-1), c'est a dire 
de la fonction de Carmichael du nombre n; 

- determination d'un nombre g, 0<g < n^, qui 
remplisse les deux conditions suivantes : 

20 a) g est inversible modulo n^ et 

b) ord(g,n^)=0 mod n. 

Cette condition b) indique que Pordre du nombre g 
dans Tensemble (Z/n^Z)* des nombres entiers de 0 a est 
un multiple non nul du nombre n, selon les notations 
25 definies plus haut. 

La cle publique K est alors formee par le nombre n et 
le nombre g. La cle privee est formee par les nombres p,q 
et A.(n) ou seulement par les nombres p et q, X.(n) pouvant 
etre recalcule a chaque utilisation de la cle secrete. 
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On genere selon ce procede les cles publique et 
privee de chaque dispositif. Cette generation peut-etre 
effectuee, selon les dispositifs consideres et les 
applications, par les dispositifs eux-memes ou par un 
5 organe externe. 

Chaque dispositif, par exemple le dispositif A, 
contient done en memoire sa cle publique Ka ^Cha^Ea) et, 
de fa9on secrete, sa cle privee K'A=(pA,qA)- 

En outre, les cles publiques sont mises dans un 
10 fichier accessible au public. 

On verra ci-dessous qu'il est avantageux de choisir 
g = 2, lorsque c'est possible, c'est a dire, lorsque g=2 
remplit les conditions a) et b) du procede de generation de 
signature selon I'invention. 
15 Un procede de chiffrement selon un premier mode de 

realisation du procede cryptographique de I'invention mis 
en oeuvre dans le dispositif A consiste alors, pour I'envoi 
d'un message au dispositif B, dans la realisation des 
etapes suivantes, avec 0<m<n: 
20 - renseignement des parametres n et g du procede de 

chiffrement mis en oeuvre par le dispositif A par la cle 
publique Kb du deuxieme dispositif B : n =nB, g = g b - 

- calcul du cryptogramme c ^g'^mod n*^, et 

- transmission du cryptogramme c sur le canal de 
25 communication. 

Le procede de chiffrement selon un premier mode de 
realisation de I'invention consiste done a prendre le 
parametre g de la cle publique, a Telever a la puissance m, 
30 et a calculer le residu modulaire relativement a n^. On 
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notera que dans le RSA, c'est le message m qui est eleve a 
la puissance alors que dans ^invention, le message m est 
utilise comme exposant. 

Le dispositif B qui re^oit le message chiffre, c'est a 
5 dire le cryptogramme c, met alors en oeuvre un procede de 
dechiffrement selon Tinvention avec les parametres de sa 
cle privee. Ce procede de dechiffrement comprend le 
calcul suivant : 



x-1 

log„(x) . 

n 

Si g = 2, on voit que le calcul d'elevation de g a la 
puissance est facilite. On prendra done de preference g=2, 
toutes les fois ou ce sera possible. En d'autres termes, le 
procede de generation des cles commencera par essayer si 

15 g = 2 remplit les conditions a) et b). 

Differentes variantes de calcul du procede de 
dechiffrement peuvent etre mises en oeuvre, qui 
permettent, lorsque le dispositif doit dechiffrer un grand 
nombre de cryptogrammes, de precalculer certaines 

20 quantites et de les conserver de fagon secrete dans le 
dispositif. Une contrepartie est que la zone memoire 
secrete (zone 120 sur la figure 2) du dispositif doit etre 
plus etendue, puisqu'elle doit alors contenir des 
parametres supplementaires en plus des parametres p et q. 

25 Ceci n'est pas sans influencer le choix de mise en oeuvre 
d'une variante ou d'une autre. En effet, la realisation 



- calcul du nombre m tel que 
logn(c^^"^mod n^ ) 



mod n 



log„(g^^">mod n' ) 



10 



ou 
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d'une zone de memoire securisee est couteuse, et done de 
capacite (memoire) generalement limitee, notamment dans 
les dispositifs dits a bas couts (par exemple, certains types 
de cartes a puce). 
5 Dans une premiere variante de mise en oeuvre du 

precede de dechiffrement, on prevoit que le dispositif, B 
en roccurrence, precalcule une fois pour toutes la 
quantite : 

an.g= logn(g^^''^mod n^ )"' mod n 
10 et la conserve secrete en memoire. 

Ainsi, on reduit d'autant le temps necessaire au 
dechiffrement de chacun des messages repus par le 
dispositif. En effet, lorsque que le dispositif B execute 
une instance de cette variante du procede de 
15 dechiffrement, il ne lui reste plus qu'a calculer : 
m= logn(c^^''^mod n^ ) a^^.g mod n. 

Dans une deuxieme variante. de mise en oeuvre du 
procede de dechiffrement selon I'invention, on prevoit 
20 d'utiliser le Theoreme du Reste Chinois, pour une 
meilleure efficacite (rapidite du calcul). 

Dans une instance de cette deuxieme variante du 
procede de dechiffrement, le dispositif effectue les calculs 
(de dechiffrement) suivants : 
25 1 mp-logp(cP'^ mod p^)logp(gP"^ mod p^)'^ mod p 

2 mq=^lQgq(c'^'' mod q^)logp(g''" ' mod q^)"* mod q 

3 m = TRC(mp,mq,p,q), 
ou 

x-1 

logp(x) et 

P 
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x-1 

lOgq(x) 

q 

Dans ce cas, on peut en outre prevoir, dans les cas ou 
le dispositif est amene a dechiffrer un tres grand nombre 
de messages, que le dispositif precalcule une fois pour 
toutes les quantites suivantes : 
5 o-p^g"" logp(gP"*mod p^ mod p et 

aci,g = logqCg'^'^mod q ^ mod q. 

Le dispositif doit alors conserver ces quantites 
comme donnees secretes. 

Le calcul effectue lors d'une instance du precede de 
10 dechiffrement devient : 

1. mp = logp(cP'* mod p^) ap,g mod p 

2. mq = logq(c**'^ mod q^) cxq,g mod q 

3. m = TRC(mp,mq,p,q). 

Comme deja precise, toutes ses variantes de calcul de 
15 dechiffrement sont interessantes lorsque le dispositif est 
amene a dechiffrer un tres grand nombre de messages, et 
que le gain en temps de traitement compense la plus 
grande capacite memoire de la zone securisee pour 
conserver toutes les donnees secretes. Le choix de I'une ou 
20 Tautre variante depend en pratique de Tapplication 
consideree et des contraintes de couts et de temps de 
traitement a concilier. 

Un deuxieme mode de realisation de Tinvention 
25 comprend 1 'utilisation d'un nombre aleatoire, fournit par 
un generateur de nombre aleatoire (oii pseudo-aleatoire), 
dans le procede de chiffrement, en sorte que pour un meme 
message m a transmettre, le cryptogramme calcule c sera 
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different a chaque fois. La securite du systeme de 
communication est done plus grande. Le procede de 
dechiffrement est inchange. 

Ce deuxieme mode de realisation de I'invention 
5 comprend deux variantes. 

Dans une premiere variante, le cryptogramme c est 
obtenu par le calcul suivant : c^g™"*^""^ mod n^ 

Dans une deuxieme variante, le cryptogramme c est 
obtenu par le calcul suivant : c = g"*r" mod n^. 
^0 Cette deuxieme variante necessite en pratique un 

temps de traitement plus long que la premiere, mais elle 
offre une plus grande securite. 

Dans un troisieme mode de realisation de Tinvention, 
15 on impose que Tordre de g dans (Z/nZ)* soit un entier de 
petite taille, ceci etant obtenu par une mise en oeuvre du 
procede de generation des cles differente. 

Avec une telle condition sur Tordre du parametre g, 
on reduit la complexite du calcul du procede de 
20 dechiffrement qui devient en pratique quadratique (c'est a 
dire en x^) par rapport a la taille du nombre n. 

Dans ce troisieme mode de realisation de I'invention, 
le procede de generation des cles publique et privee est 
alors le suivant : 
^5 " selection en secret, d'un entier u et de deux grands 

nombres premiers p et q distincts et de taille voisine tels 
que u divise (p-1) et divise (q-1). 

- calcul du nombre n egal au produit p.q; 

- calcul du nombre X(n) = PPCM(p. 1 , q-l), c'est a dire 
30 de la fonction de Carmichael du nombre n; 
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- determination d'un nombre h, 0<h< n^, qui 
remplisse les deux conditions suivantes : 

a) h est inversible modulo n^ et 

b) ord(h,n^ )=0 mod n. 

5 - calcul du nombre g= h^^"^'" mod n^. 

La cle publique K est alors formee par le nombre n et 
le nombre g. La cle privee est constituee par les entiers 
(p,q,u) conserves secretement dans le dispositif. 

De preference, on choisit h = 2, lorsque c'est possible 
10 (c'est a dire si h = 2 remplit les conditions a) et b), pour 
faciliter le calcul de g. 

On notera que si u =PGCD(p- 1 ,q- 1 ), il n'est pas 
necessaire de conserver ce nombre qui peut-etre retrouve 
par le dispositif a partir de p et q. 
15 De preference, on choisira u premier, pour ameliorer 

la securite du precede, et de petite taille, typiquement 160 
bits. En choisissant une petite taille pour u, on verra que 
I'on facilite le calcul de dechif f r ement . 

Dans ce troisieme mode de realisation, la mise en 
20 oeuvre du precede de chiffrement pour chiffrer un message 
m est identique a celle precedemment decrite dans le 
premier mode de realisation de Pinvention, le 
cryptogramme etant egal a c=g"^ mod n^. 

On pent aussi calculer le cryptogramme c en 
25 utilisant une variable aleatoire r selon la premiere 
variante du deuxieme mode de realisation de ^invention 
precedemment decrit. r est alors un entier aleatoire, de 
meme. taille que u et le cryptogramme est obtenu par le 
calcul suivant : c = g"*"*"''^ mod n^. 



30 
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Le cryptogramme c calcule selon Tune ou I'autre mise 
en oeuvre precedente du precede de chiffrement est envoye 
au dispositif B qui doit le dechiffrer. La mise en oeuvre du 
precede de dechiffrement par le dispositif B qui refoit le 
message est un peu differente. 

En effet, le calcul effectue dans le dispositif dans 
une instance de dechiffrement, pour retrouver le nombre m 
a partir du cryptogramme c devient le suivant : 
log„(c" mod n^) 

~ mod n. 

log„(g" mod n^) 
On peut appliquer comme precedemment des variantes 
de calcuI qui permettent d'accelerer le temps de traite.ment 
necessaire. 

Dans une premiere variante, on va ainsi precalculer 
une fois pour toutes la quantite : 
15 Pn,g = log„(g" mod n^) mod n 

et la conserver secretement en memoire. 
Lors d'une instance de dechiffrement d'un 
cryptogramme c refu. le dispositif n'a plus qu'a effectuer 
le calcul suivant : 

m = log„(c" mod n^) p„ g mod n. 



10 



20 



Dans une deuxieme variante, on met en oeuvre le 
Theoreme du Reste Chinois, en utilisant les fonctions logp 
et logq deja vues pour effectuer le calcul de dechiffrement. 

Lors d'une instance de cette variante du proc6de de 
dechiffrement du cryptogramme c re<?u, le dispositif 
effectue alors les calculs suivants : 
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1. mp = Iogp(c" mod p^)Iogp(g" mod p^)'* mod p 

2. mq=logq(c'' mod q^)logq(g" mod q^) *'mod q 

3. m =TRC(mp,mq,p,q). 

5 Dans une troisieme variante, on accelere encore le 

temps de traitement necessaire au dechi ffrement du 
cryptogramme c selon la deuxieme variante, en 
precalculant les quantites suivantes : 
Pp.g^logpCg'' mod p^) mod p 
10 Pq.g = logq(g" mod q^)'^ mod q 

et en les conservant de fa9on secrete dans le 
dispositif . 

Lors d*une instance de calcul de cette troisieme 
variante du procede de dechiffrement du cryptogramme c 
15 re9u, le dispositif n'a alors plus qu'a effectuer les calculs 
suivants : 

1. mp = logp(c" mod p^) Pp,g mod p 

2. mq = logq(c'' mod q^) pq,g mod q 

3. m =TRC(mp,mq,p,q). 

20 

Dans un quatrieme mode de realisation de Tinvention, 
le procede de chiffrement et le procede de dechiffrement 
sont tels qu'ils presentent la part i cul arit e d'etre des 
permutations sur le groupe des entiers modulo n^. En 

25 d'autres termes, si le message m s'exprime sur k bits, le 
cryptogramme c obtenu en appliquant le procede de 
chiffrement sur m et la signature s obtenue en appliquant 
le procede de dechiffrement sur m sont aussi sur k bits. 

Cette particularite confere au procede 

30 cryptographique la propriete supplem entai r e de pouvoir 
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etre utilise aussi bien en chi ffrement/dechiffrement qu*en 
generation/verification de signature. Dans ce cas, le 
precede de dechiffrement est employe comme precede de 
generation de signature et le procede de chiffrement 
5 comme procede de verification de signature. 

Dans ce quatrieme mode de realisation, le procede de 
generation des cles publique et privee est le meme que 
celui du premier mode de realisation de Tinvention : 
K = (n,g) et K' = (p,q,X(n)) ou K' = (p,q). 

10 Si le dispositif A veut envoyer un message m chiffre 

au dispositif il se procure la cle publique (n,g) de ce 
dernier, puis dans une instance du procede de chiffrement, 
effectue alors les calculs suivants, applique au nombre m, 
0< m<n^ : 

15 1 . m i = m mod n 

2. m2 = (m-ml)/n (division euclidienne) 

3. c = g°^* mj'^ mod n^ 

C'est ce cryptogramme c qui est envoye au dispositif 

B. 

20 

Ce dernier doit done lui appliquer le procede de 
dechiffrement correspondant, pour retrouver mi, m2 et 
finalement m. Ce procede de dechiffrement selon le 
quatrieme mode de realisation de Tinvention consiste a 
25 effectuer les calculs suivants ; 

1. mi^lognCc"^^"^ mod n^ ).log^(g^^^^ mod n^ mod n. 

2. w=cg'"^^ mod n . 

. m2-w ^ mod n . 

4. m = mi + nm2. 
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Comme precedemment, des variantes du precede de 
dechif frement selon ce quatrieme mode de realisation de 
rinvention sont applicables, qui permettent de reduire le 
temps de traitement necessaire pour dechiffrer un message 
donne. Elles sont interessantes lorsque le dispositif a un 
grand nombre de cryptogrammes a dechiffrer. 

Une premiere variante consiste a precalculer les 
quantites suivantes : 

an.g=log„(g^^"^ mod n^)'' mod n et 

Yn= 1/n mod X,(n) 

que le dispositif B calcule une fois pour toutes et 
conserve secretes en memoire. 

A chaque nouvelle instance de dechiffrement d'un 
cryptogramme c re9u selon cette premiere variante, le 
dispositif B n'a plus qu'a effectuer les calculs suivants : 

1. m i^lognCc^^"^^ mod n^ ) a^.g mod n. 

2. w^cg""^ mod n . 

3. m2 = w^'* mod n, 

4 . m = m 1 + nm2. 

Dans une deuxieme variante de la mise en oeuvre du 
precede de dechiffrement selon le quatrieme mode de 
realisation, on utilise le Theoreme du Reste Chinois. 

Le dispositif qui veut dechiffrer un cryptogramme c 
selon cette deuxieme variante effectue alors les calculs 
successifs suivants : 

1. mi^p = logp(cP"' mod p^)logp(gP"^ mod p^)'^ mod p 

2. Wp = c.g-"^*-P mod p 

3. m2.p = Wp^^^ '"^^ mod p 

4. m i.q^logqCc''"* mod q^ )logq(g'** * mod q^)"* mod q 
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5. Wq = cg-'"'''» mod q 

6. m2.<,=Wq"P mod q 

7. m,=TRC(m,.p,m2,p,p,q). 

8. m2 = TRC(mi,q,m2.q,p,q). 
5 9. m = mi + pqm2. 

Dans une troisieme variante, pour ameliorer encore 
temps de traitement du dechiffrement de cette deuxi( 
variante, le dispositif B peut precalculer une fois ] 
10 toutes les quantites suivantes : 

otp.E = logp(g'"' mod p^)-' mod p 

aq,g = logq(g'''' mod q^)"* mod q 

Yp= 1/q mod p-1 

Yq= 1/p mod q-1 
15 et les conserver secretes en memoire. 

Le dispositif qui veut dechiffrer un cryptogra 
selon cette troisieme variante n'a plus qu'a effect 



25 



calculs 


sui vants : 




1 . 


mi.P=logp(c'' ' mod p^) ttp.g 


mod 


2. 


Wp = cg-"' '' mod p 




3. 


m2,p = Wp^P mod p 




4. 


m,,q = logq(c'''' mod q^) aq.g 


mod 


5. 


Wq=cg-"'-'' mod q 




6. 


m2,q=Wq^'' mod q 




7. 


m, = TRC(mi,p.m2.p,p,q). 




8. 


m2 = TRC(m,,,,m2.q,p,q). 




9. 


m = mi + pqm2. 





Le quatrieme mode de realisation de Pi 
30 vient d'etre decrit permet de faire de la 
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verification de signature. Comme represente sur 
r organigramme de la figure 4, si le dispositif B doit 
generer une signature s d*un nombre m representatif d'un 
message vers le dispositif A, il applique comme precede de 
generation de la signature, le procede de dechi ff rement 
avec sa cle privee : 5 = 0^^3(^1). 

Le dispositif A qui repoit la signature s et qui connait 
le message m, verifie que la signature est bonne en 
calculant la quantite v obtenue en appliquant le procede de 
chiffrement sur la signature s avec la cle publique 
v = Ekb(s), Si la signature est bonne, on a v = m. 

Toutes les variantes de mise en oeuvre du procede de 
dechi ffrement de ce quatrieme mode de realisation qui 
permettent d*accelerer le temps de traitement sont aussi 
bien applicable en generation/verification de signature. 

L'invention qui vient d'etre decrite est applicable 
dans tous les systemes ou I'on veut pouvoir chiffrer et/ou 
signer des messages. Elle permet d'elargir les possibilites 
d'adaptation aux differentes applications, selon que Ton 
recherche plus de securite, ou une vitesse de traitement 
accrue. A cet egard, on notera que le troisieme mode de 
realisation de Tinvention, dont la complexite de calcul est 
seulement quadratique (fonction du carre de la taille de n) 
offre un reel avantage en terme de vitesse, dans la mesure 
ou tous les precedes de I'etat de la technique out un ordre 
de complexite superieur (fonction du cube de la taille de 
n). Un tel avantage interesse plus particul ierement toutes 
les applications utilisant des dispositifs portables, tels les 
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cartes a puces et plus particulierement les dispositifs a bas 
couts. 

Enfin, toute personne experimentee dans la technique 
concernee par Tinvention comprendrp que des 
5 modifications dans la forme et/ou des details peuvent etre 
effectues sans sortir de Tesprit de Tinvention. En 
particulier on peut chiffrer la signature, ou encore 
appliquer une fonction de hachage au message m avant de 
calculer sa signature. 



10 
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REVENDICATIONS 

1. Precede cryptographi que comprenant un precede de 
generation de cles publique (K) et privee (K') dans un 
dispositif apte a echanger des messages sur au moins un 
canal de communication, la cle privee devant etre 
5 conservee de fa9on secrete dans ledit dispositif et la cle 
publique devant etre diffusee publiquement, le procede de 
generation comprenant les etapes suivantes : 

selection de deux nombres premiers p et q 
distincts, de taille voisine; 
10 - calcul du nombre n egal au produit p.q; 

caracterise en ce que ledit procede comprend en outre 
les etapes suivantes : 

- calcul du plus petit commun multiple des nombres 
(p-1) et (q.l) : 7i(n)=PPCM(p- 1 , q-1) 
15 - determination d'un nombre g , 0<g<n^ qui verifie 

les deux conditions suivantes : 

a) g est inversible modulo n et 

b) ord(g,n^) = 0 mod n, 

la cle publique dudit dispositif etant formee par les 
20 parametres n et g et sa cle privee etant formee par les 
parametres p,q et X{n) ou par les parametres p et q. 

2. Procede de generation selon la revendication 1, 
caracterise en ce qu'il consiste a prendre g = 2, si g verifie 
25 les dites conditions a) et b). 
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3. Systeme de communication cryptographi que a cles 
publique et privee generees selon la revendi cat ion 1 ou 2, 
comprenant un canal de communication (20) et des 
dispositifs communiquant (A, B), chaque dispositif 
comprenant au moins une interface de communication (11), 
des moyens de traitement de donnees (10) et des moyens de 
memorisation (12, 13), caracterise en ce qu'un procede de 
chiffrement est mis en oeuvre dans un premier dispositif 
(A) pour envoyer un nombre m representati f d'un message, 
0<m<n, a un deuxieme dispositif (B), ledit procede de 
chiffrement comprenant les etapes suivantes : 

- utilisation des parametres de la cle publique (nB,gB) 
du deuxieme dispositif (B) pour renseigner les parametres 
n et g du procede de chiffrement, 

- calcul du cryptogramme c = g"'mod n^ , 

ledit cryptogramme c etant ensuite transmis sur le 
canal de communication vers le deuxieme dispositif, 

4. Systeme selon la revendication 3 , caracterise en 
ce que le dispositif mettant en oeuvre le procede de 
chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

-calcule le cryptogramme c en effectuant le calcul de 
chiffrement suivant: c = g°''^'''mod(n^). 

. 5. Systeme selon la revendication 3, caracterise en ce 
que le dispositif mettant en oeuvre le procede de 
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chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et cn ce que ledit dispositif : 

-effectue le tirage d*un nombre entier aleatoire r, 

puis 

5 -calcule le cryptogramme c en effectuant le calcul de 

chiffrement suivant: c = g^r"mod(n^). 

6. Systeme selon Tune des re vendications 3 a 5, 
caracterise en ce que le deuxieme dispositif (B) met en 

10 oeuvre un precede de dechiffrement, pour dechiffrer ledit 
cryptogramme c, et qui comprend la realisation du calcul 
m= lognCc^^'^^mod n^). logn(g^^"^mod n^)"^ mod n 

x-1 

ou logn(x)= . 

n 

7. Systeme selon la re vendicat ion 6, caracterise en ce 
15 qu'un dispositif (B) mettant en oeuvre ledit procede de 

dechiffrement, precalcule la quantite : 
an,g== lognCg^^^'^mod n^)"^ modn 
et la conserve secretement. 



20 8. Systeme selon la revendication 6, caracterise en 

ce que dans une instance dudit procede de dechiffrement 
un dispositif effectue les etapes de calcul suivantes, 
utilisant le Theoreme du Reste Chinois TRC : 

mip==Iogp(cP'^mod p^). logp(g^*^mod p^)'^mod p, 
25 mq^logqCc'^'^mod q^). logqCg'^'^mod q^)''mod q. 

m = TRC(mp,mq,p,q). , ou logp et log^ sont tels que 
x-1 

logi(x)= . 

i 
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9. Systeme selon la revendicat ion 8, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit precede de 
dechiffrement precalcule les quantites suivantes 

^p.g"^ logp(gP*'mod p^ mod p et 
5 aq,g = Iogq(g''*^mod q ^ mod q. 

et les conserve secretement. 

10. Systeme de communication cryptographique a 
cles publique et privee generees selon la revendication 1 

10 ou 2, comprenant un canal de communication (20) et des 
dispositifs communiquant (A,B), chaque dispositif 
comprenant une interface de communication (11), des 
moyens de traitement de donnees (10) et des moyens de 
memorisation (12, 13), caracterise en ce qu'un precede de 
15 chiffrement est mis en oeuvre dans un premier dispositif 
(A) pour envoyer un nombre m represen tatif d'un message, 
0<m< n^ , a un deuxieme dispositif (B), ledit precede de 
chiffrement comprenant les etapes suivantes : 

utilisation des parametres de la cle publique 
20 KB = (nB,gB) du deuxieme dispositif (B) pour renseigner les 
parametres n et g du procede de dechiffrement, 
•- et realisation des calculs suivants : 
1 . mi=m mod n 
2 . m2 = (m-m 1 )/n 
25 3. c-g"^^ mj" mod n^ 

ledit cryptogramme c etant transmis sur le canal de 
communication. 
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11. Systeme selon la revendication 10, caracterise en 
ce que en ce que le deuxieme dispositif (B) refoit le 
cryptogramme c et met en oeuvre un precede de 
5 dechiffrement, pour dechiffrer ledit cryptogramme qui 
comprend la realisation des etapes suivantes de calcul : 

1. m, = log„(c^^^^ mod n^ ).Iog„(g^^"^ mod n^ mod n. 

2. w=cg'™^ mod n . 

3. m2 = w^^'^ '"^'^ ^^""^ mod n . 
10 4. m = mi + nm2. 



12. Systeme selon la revendication 11, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit precede de 
dechiffrement, precalcule les quantites suivantes : 
15 an.g = logn(g^^"^ mod n^)"^ mod n et 

Yn= mod X,(n) 

et les conserve secretement. 



13, Systeme selon la revendication 11, caracterise en 
20 ce que dans une instance dudit precede de dechiffrement, 
un dispositif effectue les etapes de calcul suivant, en 
utilisant le Theoreme du Reste Chinois ; 

1. mi,p=logp(c^"^ mod p^). logp(g^* * mod p^)'^ mod p 

2. Wp = cg'"*'P mod p 

25 3. m2,p = Wp^'^ """^ mod p. 

4. m i.q^logqCc"^'^ mod q^). logqCg"*" ^ mod q^)"* mod q 

5. Wq^cg"'"*''^ mod q 

6. m2,q==Wq^'P ""^^ ^'^ mod q 

7. mi = TRC(mi.p,m2.p,p,q). 
30 8. m2 = TRC(mi.q,m2,q,p,q). 
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9. m - mi + pqm2 , ou logp et log^ sont tels que 
x-1 

logi(x)- 

i 

14. Systeme selon la re vendication 13, caracterise en 
ce que dans une instance dudit procede de dechiffrement, 

5 un dispositif precalcule les quantites suivantes : 
ap,g=-logp(gP'^ mod p^)'^ mod p 
^q-g^logqCg"*'* mod q^)*^ mod q 
Yp= 1/q mod p- 1 
yq= 1/p mod q-1 
10 et les conserve secretement. 

15. Systeme selon I'une quelconque des 
revendications 11 a 14, dans lequel le procede de 
dechiffrement est utilise pour calculer la signature s d'un 

15 message m et le procede de chiffrement est utilise pour 
verifier ladite signature, 

16. Procede cry pto graphique comprenant un procede 
de generation de cles publique (K) et privee (K') dans un 

20 dispositif apte a echanger des messages sur au moins un 
canal de communication (20), la cle privee devant etre 
conservee de fafon secrete dans ledit dispositif et la cle 
publique devant etre diffusee publiquement, procede de 
generation caracterise en ce quMl comprend les etapes 

25 suivantes : 

selection d'un nombre u et de deux nombres 
premiers p et q distincts, de taiUe voisine, tels que u 
divise (p-1) et divise (q-1); 
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- calcul du nombre n egal au produit p.q; 

- calcul du plus petit commun multiple des nombres 
(p-1) et (q-1) : X.(n) = PPCM(p- 1 , q-1) 

- determination d'un nombre h , 0<h<n^ qui verifie 
5 les deux conditions suivantes : 

a) h est inversible modulo n^ et 

b) ord(h,n^) = 0 mod n, 

- calcul du nombre g=h^^"^''" mod n^, 

la cle publique dudit dispositif etant formee par les 
10 parametres n et g et sa cle privee etant formee par les 
parametres p,q et u. 

17, Precede selon la re vendicati o n 16, caracterise en 
ce qu'il consiste a choisir h = 2, si les conditions a) et b) 

15 sont remplies. 

18. Precede selon la revendication 16, caracterise en 
ce que u est le plus grand commun diviseur de (p-1), (q-1). 

20 19. Procede selon la revendication 16, caracterise en 

ce que u est un nombre premier. 

20. Systeme de communication cry ptographique a 
cles publique et privee generees selon I'une des 

25 revendications 16 a 19, comprenant un canal de 
communication (20) et des dispositifs communiquant (A, 
B), chaque dispositif comprenant une interface de 
communication (11), des moyens de traitement de donnees 
(10) et des moyens de memorisation (12, 13), caracterise 

30 en ce qu'un procede de chiffrement est mis en oeuvre dans 
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un premier dispositif (A) pour envoyer un nombre m 
representatif d'un message, 0<m<n, a un deuxieme 
dispositif (B), ledit procede de chiffrement comprenant les 
etapes suivantes : 
5 - utilisation des parametres de la cle publique (n,g) ^ 

du deuxieme dispositif (B) pour renseigner les parametres 
n et g du procede de chiffrement, 

- calcul du cryptogramme c =g°*mod n^, 
ledit cryptogramme c etant ensuite transmis sur le 
10 canal de communication vers le deuxieme dispositif. 

21. Systeme selon la revendication 20, caracterise en 
ce que le dispositif mettant en oeuvre le procede de 
chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

-calcule le cryptogramme c en effectuant le calcul de 
chiffrement suivant: c = g"''**''^mod(n^). 

22. Systeme selon la revendication 20 ou 21, 
caracterise en ce que le deuxieme dispositif met en oeuvre 
un procede de dechiffrement du cryptogramme re<?u c, 
comprenant la realisation du calcul suivant : 

m= logn(c"mod n^). Iogn(g"mod n^)"^ mod n. 

23. Procede selon la revendication 22, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement precalcule la quantite : 

Pn^g^lognCg^'modn^)*^ mod n 



15 



20 



25 
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et la conserve secretement . 

24. Systeme selon la revendication 22, caracterise en 
ce que dans une instance dudit precede de dechi f frement, 

5 un dispositif effectue les etapes de calcul suivantes, en 
utilisant le Theoreme du reste chinois : 

1. mp=logp(c" mod p^).logp(g'' mod p^)"' mod p. 

2. mq^logqCc"" mod q^).logq(g'' mod q^) **mod q. 

3. m =TRC(mp,mq,p,q), ou logp et logq sont tels que 

x-1 

logi(x)= . 

i 

10 

25. Systeme selon la revendication 24, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement precalcule les quantites suivantes : 

pp,g=logn(g" mod p^) mod p 
15 Pq^g^lognCg*" mod q^)"^ mod q 

et les conserve ^e^^etement. 



THIS PAGE BLANK (uspto) 



THIS PAGE BLANK (uspto) 



wo 00/42734 



PCT/FR99/02918 



2/4 




wo 00/42734 



PCT/FR99/02918 



3/4 




THIS PAGE BUNK (uspio, 



wo 00/42734 



PCT/FR99/02918 



4/4 




THIS PAGE BLANK (uspto) 



INTE 



TIONAL SEARCH REPORT 



iccwy AppfajjofiMo 

PCT/FR 99/02918 



A.^(XAS8tRCAT10N OF SUBJECT HATTER 

IPC 7 H04L9/yo 



AcaootdtiqtorntematfonalPatemaaariflcalto 



a RELOSSEARCttiSO 



Mnkimn dcxunentBdcn aesnhod {clasBfflcalten ayvtem tolowed by ctossHSostton •ymbols) 

IPC 7 H04L 



Documentation aeaictwd otfier than minfernLin docunantottcn to tha axtant that auoh doounento ara Indudad In tho flelda aaaiched 



BactrcMnlc data bOM oonaiited durtno th^ hntemattonel search (name of data Iwae and. where pnw^loal, aee io h tecma uaed) 



a DOCUMENTS CONSIDERED TO BE RELCVAMT 



Categoiy** Citation of dooumeit, Moadon, w(hete appnyriatey ol the relevant p a a aacy e 



Relevant to dafen Na 



YASUKO GOTOH ET AL: "A METHOD FOR RAPID 

RSA KEY GENERATION" 

SYSTEMS & COMPUTERS IN JAPAN, 

vol. 21, no. 8, 

1 January 1990 (1990-01-01), pages 11-20, 
XP000177817 
ISSN: 0882-1666 

page 12, right-hand column, line 12 -page 
13, left-hand column, line 12 



1,16 



□ 



Ftolher doounenia are lated In the oontknuatfon of box C. 



□ 



Patent famfly membera aie lated hi annex. 



* S^edaJ cate0oriee of cited doctvnenta : 

"A* doojment deMng the general state of the eitioMchlanot 

considered to be of particular relevanoe 
V earilerdoounentbutpuUahedon orafterthe fcitemaflonal 

lUnQdate 

T-* dogjment \^jhlch may throw doi±it» onpdortty dakn(a)or 
wflricli la dted to eataUWi the ptAillcaSon crate d anoiher 
ottatfon or other ap e cto i recaon (aa apecffied^ 

K)" document lefenfng to an oral <lacloBure,ijtae, exhfcMonor 



later document pitilahed after the HemaOonal flbig date 
orprlocttydateandnotkioonflctwtlhihe apptcaHon but 
died to uiderBtand the pftoc^ple or theory i^viert^^ng the 



"H" docunent pdbiflhed prior to the krtemattcnal flli0 date but 
later than the priori^ dato datmed 



'X* docitnent ol peitloUar re le va nce; the cfedmed Irwenbon 
cannot t)eoonflldeied novel or oanmtkwoonBldefBd to 
livdve an {nventtve atep xAten the doomnt to taken atone 

*Y* dooanent of paiHoiiarrelevanoe; the claimed ftnvenHon 

cannot be oonddeted to Involve an j^'^ rtfw g tep when the 
doounent la ocmfafeied with one or moce other auch do ci K* 
menlB^auchcanibfeiatlonl>elngobvtouBtoa penonoklled 
the art. 

"ft" doounent member of the aame patent fsmly 



Date of the actual ccmplelton of the kttemaUonal aecuch 



11 February 2000 



Dato of mattnQ of the tntemadlonal eearch teport 



18/02/2000 



andmallrkg addnasof tlie ISA 

European Patent OfOoe, P.a 5818 PatenHaan 2 
NL-2280HVRQswf|c 
TeL (431-70) d40-204aTx. 31 661 eporl. 
Fax: (431-70) 340^18 



Autt%oitKed ofRoer 



Hoi per, G 



Foon PCTASMiO (Moond chMl) (JUy IMS) 



THIS PAGE BLANK (uspto) 



RAPPORT DE R^^IERCHE INTERNATIONALE 



PCT/FR 99/02918 



A. CLASSEUENT DE L'QBJET OE LA DEMANDE 

CIB 7 H04L9/30 






Selon la olMllkartkin btanatk)nale dee bre^ (CtB^ 






& DOIIAlNe88URL£8QUEt8 LA RECHERCHE A PORTE 


Docunentation mtnkns^ oonauttto (syatdme de danMoaHcn mjM dee eymbolee de dasscmerA) 

CIB 7 H04L 


Dooianentatton oonsiMto fluli« que la doouner^^ 


iqueleapoi 


ft6 la fecHeictw 


Base de donn6ee ^eotRvilque oonauttte au ooue de la reo^^ 


sfiTiee de re 


cheniheuHMe) 



C DOCUIOm CON8IDERE8 COI 



PERniosinB 



Catdoode"* ldenlHtegltondeedoeumert»cH6e,aveo,lecae 6 ch 6 ant,ITndo^ 



na dee revendcaflm viete 



YASUKO GOTOH ET AL: "A METHOD FOR RAPID 

RSA KEY GENERATION" 

SYSTEMS & COMPUTERS IN JAPAN, 

vol. 21, no. 8, 

1 Janvier 1990 (1990-01-01), pages 11-20, 
XP000177817 

ISSN: 0882-1666 
page 12, colonne de drolte, llgne 12 -page 
13, colonne de gauche, llgne 12 



1,16 



□ 



Voir la elite du cadre C pour la fin de la fate dee docunentB 



□ 



Lee dociffnentB de famllee de brevets eottt tndqude «n annexe 



* Cat^goilee epddalee dedocunento dtte: 

"A* dooiin€nt d«irtteBtt itf^g6nfefqtdelatec*wk^ 

conBkl6f6 oonune paitlctilefefnertt pertinent 
*E* doo Mn«rt ant^deur,fnatopUil6liladatededgp6tfctteniflacnal 

ou api^fee oettB date 
i." dootanenlpouMnlJetermdoutoeurmerevendcatfonde 

priorttfeoudtfepourd^tefmkief la date de ptfcHcaflon <f 

autie dtetlon ou pour ine ralson ep^clale (tele qi/hdk|ti6e) 

"Xy dooumeffteer6Mnut&une<tvul0a1lenoraie, dm usages & 
ine expoddon cu tous autree moyena 

■P" doounent pUM^ avant ta date de dtodtfeitemadonal, mate 
poatMeiranent <i la date de pdofttfr revenciau^ 



"f docurneniuM6rieurput3l6apr&eladat0ded^pdtlntematlanaloula 
date de prioctt6 et nTappartenenant pea r^tat de la 
technique peitttqi t male ctt^pouroomprcndre le pilncipe 
ou la Mode oonatttuant la baae de llnverttlon 

V docmiertfpaitlGiJ^icfnem pertinent nwen lion levenA 

Mre oofHMMe ocnvne nouveUe ou oonime knplquam uie ac«Me6 
kiventtve par lapport au docianent ooftddM led^ment 

•Y* dooufftef t paiBoiJfeffemert pertinent f%wen don revendlQu6e 
ne peit «tie oone4d6f6e oomme Implk^Mtnt ine actMt6 iiverrtlve 
kMeque le document eet aaeod6 d ui ou phieleure aulree 
docisnentedem^fne nature, oetteoombkudaon^tart^vldenke 
pour une penome du m^er 
doouneniqiifeftpatttedelamtoefaniUedebrevete 



Date ^ taquetie la recherehe htenriatlariale a 6ti6 effecttvement ac^^ 

11 fevrier 2000 



Date (f expMlon du pr6«errt rappott de reohecche Intemadonale 

18/02/2000 



Hornet 



poatato de ractoMstrodon charote de (a feohevche hitefl^^ 

Office Euitp6en dee Bieveta* PA 6610 PatenHaan 2 

NL-22eOHVRIjB«vtJk 

TeL (4d1-70)340-204(X Tx. 31 661 eponl. 

Fax: (431-70) 340-^16 



Fonottor m atre 



Hoi per, G 



RoRmJi** PCT/I8M210 (dnjDdtaM «nA*) QMl 1902) 



THIS PAGE Bum mm) 



^ /I PATENT COOPERATION TREATY 

^^^^ Q \ INTERNATIONAL PRELIMINARY EXAMINATION REPORT 

(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference 
GEM 603 


See Notification of Transmittal of International 
FOR FURTHER ACTION preliminary Examination Report (Form PCT/IPEA/4 1 6) 


International application No. 


International filing date {day/month/year) 


Priority date {clay/month/year) 


PCT/FR99/02918 


25 November 1999 (25.11.99) 


14 January 1999 (14.01.99) 


International Patent Classification (IPC) or national classification and IPC 




H04L 9/30 






Applicant 


GEMPLUS 





This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



This REPORT consists of a total of , 



8 



. sheets, including this cover sheet.^ 



^ This report is also accompanied-by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 



been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



29 



sheets. 



3. 



This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 


I2SI 


II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 


1^ 



Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



1 2001 



^yCente^ 



'r2loo 



Date of submission of the demand 

12 July 2000(12.07.00) 


Date of completion of this report 

11 April 2001 (11.04.2001) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer . 
Telephone No. 



Form PCT/IPEA/409 (cover sheet) (January 1994) 



THIS PAGE Blkm (u^i^i 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



international application No. 

PCT/FR99/02918 



I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been Jidrnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed*' and are not annexed to the report since they do not contain amendments.): 

I I the international application as originally filed. 

^ the description, pages , as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of — 

pages , filed with the letter of — 



02 March 2001 (02.03.200n 



^ the claims. 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-20 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



02 March 2001 (02.03.2001) 



^ the drawings. 



sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



2/4-4/4 



1/4 



, as originally filed, . 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



02 March 2001 (02.03 .200 n 



2. The amendments have resulted in the cancellation of: 

I I the description, pages 

I I the claims, Nos. 



I I the drawings, sheets/fig 



n I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
' ' — ' to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 

4. Additional observations, if necessary: 
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PCT/FR 


99/02918 


V. Reasoned statement under Article 35(2) with regard to novelt>-, inventive step or industrial applicahility; 
citations and explanations supporting such statement 


1. Statement 










Novelty (N) 


Claims 


1-20 


YES 


Claims 






NO 


Inventive step (IS) 


Claims 


1-20 


YES 


. Claims 






NO 


Industrial applicability (lA) 


Claims 


1-20 


YES 


Claims 






NO 


2. Citations and explanations 



The following document is referred to: 

Dl : YASUKO- GOTOH' ET AL. "A method for rapid rsa"k.ey. 
generation", Systems Computers in Japan, Vol. 
21, 8,-1 January 1990, pages 11-20,. 
XP000177817, ISSN: 0882-1666. 



1. Independent Claim 1 concerns an asymmetrical 

cryptographic method with public and private keys. 

According to the current prior art, the RSA method 
alone can.be used either for message encryption or. \ 
for generating a digital signature. However, the 
calculation time in this method is often very long. 

The present invention therefore provides an 
asymmetrical cryptographic method (private key and 
public key)-, which enables messages to be encrypted 
and signed and which, in certain configurations, has 
a more rapid processing time than an RSA method. 
The method uses an encryption and decryption 
algorithm which makes* use' of a property of the''' 
logarithms (described in detail on page 7 of the 
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description) . 

Dl, which is considered to be closest, discloses a 
method for rapidly generating public and private keys 
in an RSA method. The solution for selecting the 
numbers p and q (private key) is not only rapid (the 
private key ' can be generated at the user end itseTf) 
but also protected against factoring attacks. 



However, Dl does not disclose the same cryptogram. 
The cryptogram disclosed in Claim 1 is: c = g'' mod n' , 
whereas the cryptogram used in Dl is: c = {mod n) . 
The number m representing the message is used "as the 
exponent in Claim 1, rather than as the base of a 
power below the exponent . 

..With this-..solution, particularly where ■g=2, the 
calculation of the power is simplified and a faster 
algorithm processing time is achieved. 

This solution is neither known nor derivable from Dl, 
and the subject matter of Claim 1 is therefore 
considered to be novel (PCT Article 33(2)) and to 
involve an inventive step (PCT Article 33(3)). 

2.1 Independent Claim 2 concerns the use of the method 
presented in Claim 1 in a system for communication 
between a first device and a second device, and its 
subject matter is therefore likewise considered to be 
novel (PCT Article 33(2)) and inventive (PCT Article 
33 (3) ) . 



2.2 Claims 3-7 are dependent on Claim 2 and therefore 

likewise satisfy the PCT requirements of novelty and ' 
inventive step. 
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3.1 Independent Claim 9. concerns the use of the. method . 
presented in Claim 1 in a system for communication 
between a first device and a second device with the 
additional feature that the number m representing the 
message is used to calculate the two numbers ml and 

■ m2, which provides the" method with the additional 
property that it can also be used for signature; its 
subject matter is therefore considered to be novel 
(PCT Article 33(2)) and to involve an inventive step 
PCT Article 33 (3) ) . 

3.2 Claims 10-14'are dependent" on Claim 9 and therefore--. 
■•' ■- likewise, satisfy the 'PCT requirements o'f- novei;-ty--'a'nd' 

inventive step. 

4..1 Claims 15 and 16 are identical to Claims 2 and 3- and 
their subject matter is therefore likewise considered 
to be novel (PCT Article 33(2)) and to involve an 
inventive step (PCT Article 33(3)). 

4.2 Claims 17-20 are dependent on Claim 15 and therefore 
likewise satisfy the PCT requirements of novelty and 
inventive step. ... 
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^^malional application No, 
PCT/FR 99/02918 


Vn. Certain defects in the international application 


The following defects in the form or contents-of the international application have been noted: 


1 . 


In order to satisfy the requirements of PCT Rule 
6.3(b), the independent claims should be drafted 
correctly in two parts, with features known in 
combination from prior art (see Dl) being mentioned 




in the first part. 




2 . 

• 


In order to satisfy the requirements of PCT Rule 
11.13(1), reference signs 1 and 2, which are 
mentioned in -the "description on page 7, lines 19 - - ■ 
and 24, must appear in at Teast one of the , _ ; 
drawings, failing which they should not appear, in 




the' description. 




3 . 


The applicant must correct the following mistakes 




in the description: 






(i) page 13, line 22: 






log^(x) = 

P 






(ii) page 13, line 22: 






log,(x)=^ 






(iii) Claim 5: 






log^(x) = 
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Vni Certain observations on the international application 

The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are lull>- 
supported by the description, are made: 

1. According to the PCT there are in fact only two 

basic types of claim, namely claims to a physical 
entity (device) and claims to an activity (process.)- 
(see PCT Examination Guidelines, -Chapter III-3.1). 
Consequently, a device claim should contain only 
structural features (means to...), and not 
functional features . 

On this issue, some of the expressions used, such..„'„-. 
'as : " _ _ - — • 

"system... with keys... generated in accordance with 
Claim 1" (Claims 2, 9 and 15) ; 

"system. . . characterised in that an encryption / . ' 
method is used..." (Claims 2, 9 and 15); 

"the device: carries out... calculates.." (the set 
of claims ) ; 

"Process as per Claim 17" (claim to a system) 
can not be considered as defining either structural 
features or activities (functions), and they are 
therefore not clearly categorised either as device 
• claims or as process claims. 

The clarity of the claims is extremely important, 
given their role in defining the subject matter for 
which protection is sought. In view of the different 
extents of protection that may be granted to the 
various categories of claim, the text must leave no 
doubt as to the category to which a claim belongs 
(PCT Article 6, and PCT Examination Guidelines, 
... . - .......V- Chapter 111^4.1) _ 
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VIIL Certain observations on the international application 



The applicant should therefore preferably have- 
drafted all of the claims as process claims. 

2. The subject matter of Claims 15 and 16 merely 
repeats Claims 2 and 3, respectively, and as a 
result, contrary to PCT Article- 6, the two claims 
are not concise. 



3. Contrary to PCT Article 6, the subject matter of 
Claim 1 is not clearly defined for the following 
reason: the parameter . "m" . is not de'f ined 'in the 
claims .betore- it is used"- in the corresponding 
mathematical formula. 
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TRAITE DE COOPERATION EN MATIERE DE BREVETS 

I ' 

PCT l-^O I g ^p;, 2Z21 

RAPPORT D'EXAMEN PRELIMINAIRE INTERNAT4^NALlIfClI 



(article 36 et regie 70 du PCT) 



R6f6rence du dossier du d6posant ou du 

mandataire 

GEM 603 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande intemationale 
PCT/FR99/0291 8 


Date du d6pot intemational (jour/mois/ann^e) 
25/11/1999 


Date de priority (jour/mois/ann^e) 
14/01/1999 


Classification intemationale des brevets (GIB) ou ^ la fois classification nationale et CIB 
H04L9/30 


D^posant 

GEMPLUS^.C.A. et al3 



1. Le present rapport d'exannen prelinnlnaire intemational, etabli par Tadministaration chargee de I'examen pr6liminaire 
international, est transnnis au deposant conformement a I'article 36. 



2. Ce RAPPORT comprend 8 feuilles, y compris la presente feuille de couverture. 

S II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupr^s de 
I'administration chargee de Texannen prelinninaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
adnninistratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 



1 




Base du rapport 


II 


□ 


Priorite 


III 


□ 


Absence de formulation d'opinion quant a la nouveautd. {'activity inventive et la possibility 
d'application industrielle 


IV 


□ 


Absence d'unite de I'invention 


V 




Declaration motivee selon ['article 35(2) quant k la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications k I'appui de cette declaration 


VI 


□ 


Certains documents cites 


VII 




Irregularit^s dans la demande intemationale 


VIM 




Observations relatives k la demande Internationale 



Date de presentation de la demande d'examen pr6llminaire 
intemationale 

12/07/2000 


Date d'ach^vement du present rapport 
1 1 .04.2001 


Norn et adresse postale de I'administration charg6e de 
I'examen pr61iminaire international: 

^ Office europ6en des brevets 
D-80298 Munich 

T6I. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Fonctionnaire autoris6 /J^^*^^^*^^^ 

J) 1 

Grimaldo, M V\ fj 

^^^^ 

N" de telephone +49 89 2399 751 3 
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I. Base du rapport 



1 . En ce qui concerne les elements de la demande internationale (les feuilles de remplacement qui ont 6te remises 
a i'office recepteur en reponse a une invitation faite conformement a i'ariicle 14 sont cons/der^es dans le present 
rapport comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'eiles ne contiennent 
pas de modifications (regies 70. 16 et 70. 17)): 



Description, pages: 

1-21 regue(s) le 



02/03/2001 avec la lettre du 



26/02/2001 



Revendicatlons, N^: 

1-20 regue(s) le 



02/03/2001 avec la lettre du 



26/02/2001 



Dessins, feuilles: 

2/4-4/4 
1/4 



version initiate 
regue(s) le 



02/03/2001 avec la lettre du 



26/02/2001 



2. En ce qui concerne la langue, tous les §16nnents indiques ci-dessus etaient k la disposition de Tadministration ou 
lui ont et§ remis dans la langue dans laquelie la demande internationale a 6t6 deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de {'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire Internationale (selon la r^gle 55.2 ou 
55.3). 

3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas 6cheant), I'examen preliminaire internationale a 6t6 effectu^ sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme 6crite. 

□ depose avec la demande Internationale, sous forme dechiffrable par ordinateur. 

□ remis ult^rieurement h I'administration, sous forme §crite. 

□ remis ulterieurement k I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelie le listage des sequences par §crit et fourni ulterieurement ne va pas au-del^ 
de la divulgation faite dans la demande telle que d^pos^e, a ete fournie. 

□ La declaration, selon laquelie les informations enregistrees sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Pr6sente par ecrit, a ete fournie. 
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4. Les modifications ont entraine I'annulation : 

□ de la description, pages : 

□ des revendications, : 

□ des dessins, feuilles : 

5. □ Le present rapport a 6te formule abstraction faite (de certaines) des modifications, qui ont 6t§ consld6r6es 

comme allant au-dela de I'expos^ de I'invention tel qu'il a et6 d6pos6, comme il est indique ci-apres (regie 
70.2(c)) : 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annex^e au present rapport) 

6. Observations complementaires, le cas ech§ant : 

V. Declaration motivee selon rarticle 35(2) quant a la nouveaute, ractivite inventive et la possibilite 
d'application industrielle; citations et explications a Tappui de cette declaration 

1. Declaration 



Nouveaute 


Oui : 


Revendications 


1-20 




Non : 


Revendications 




Activite inventive 


Oui : 


Revendications 


1-20 




Non : 


Revendications 




Possibilite d'application industrielle 


Oui : 


Revendications 


1-20 




Non : 


Revendications 





2. Citations et explications 
voir feuille separee 



VII. Irregularites dans la demande internationale 

Les irregularites suivantes, concernant la forme ou le contenu de la demande internationale, ont 6t6 constat^es : 
voir feuille separee 



VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 
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Documents mentionnes 

II est fait reference au document suivant: 

D1 : YASUKO GOTOH ET AL.: "A method for rapid rsa key generation", Systems 
& Computers in Japan, vol. 21, no. 8, 1 Janvier 1990, pages 11-20, 
XP000177817, ISSN: 0882-1666 

V. Declaration motivee selon la regie 66.2.a)ii) quant a la nouveaute, Tactivite 
inventive et la possibilite d'application industrielle; citations et explications a 
I'appui de cette declaration 

1 . La revendication independante 1 concerne un precede cryptographique 
asymetrique a cles publique et privee. 

Selon I'etat actuel de la technique, seul le precede RSA peut etre utilise soit pour 
le chiffrement des messages soit pour la generation de signature numerique. 
Toutefois, le temps de calcul de cette procedure est souvent tres long. 

L'invention propose done un precede cryptographique asymetrique (cle secrete et 
cle publique) qui permet de chiffrer des messages et aussi de les signer et qui, 
dans certaines configurations, a un temps de traitement plus rapide qu'un precede 



Le precede utilise un Talgorithme de cryptage et decryptage qui tire avantage 
d'une propriete des logarithmes (decrit en details a la page 7 de la description). 

Le document D1 , censidere conrime le plus proche, devoile un methode rapide 
pour generer des cles publique et privee dans un precede RSA. La solution pour 
cheisir le nembres p et q (cle privee) est, a la feis, rapide (la cle privee peut etre 
cree dans Tutilisateur meme) et securisee centre un attaque de factorisation. 

Cependant, le document D1 ne devoile pas le meme cryptogramme. 

Le cryptogramme divulgue par la revendication 1 est: c = g'^med n^, tandis que le 

cryptogramme utilise dans le document D1 est: c = m®(mod n): le nombre m 



RSA. 
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representatif du message est utilise comme exposant dans la revendication 1 
tandis que sous I'exposant en tant que base d'une puissance. 

Dans cette solution, en particulier si g=2, le calcul de la puissance est facilite et le 
temps de traitement de Taigorithme est plus rapide. 

Cette solution n'est ni connue, ni derivable, du document D1 et, done, I'objet de la 
revendication 1 est considere comme nouveau (Article 33(2) PCX) et impliquant 
une activite inventive (Article 33(3) PCX). 

2.1 La revendication independante 2 considere j'utilisation du precede presente dans 
la revendication 1 dans une systeme de communication entre un premier et un 
deuxieme dispositif et done, son objet est considere comme nouveau (Article 
33(2) PCX) et inventif aussi (Article 33(3) PCX). 

2.2 Les revendications 3-7 dependent de la revendication 2 et satisfont done 
egalement, en tant que telles, aux conditions requises par le PCX en ce qui 
concerne la nouveaute et Tactivite inventive. 

3.1 La revendication independante 9 considere I'utilisation du precede presente dans 
la revendication 1 dans une systeme de communication entre un premier et un 
deuxieme dispositif en ajoutant la caracteristique que le nombre m representatif 
du message est utilise pour calculer les deux nombre ml et m2 qui confere au 
precede la propriete supplementaire de pouvoir etre utilise aussi en signature et 
done, son objet est considere comme nouveau (Article 33(2) PCX) et impliquant 
une activite inventive (Article 33(3) PCX). 

3.2 Les revendications 10-14 dependent de la revendication 9 et satisfont done 
egalement, en tant que telles, aux conditions requises par le PCX en ce qui 
concerne la nouveaute et Tactivite inventive. 

4.1 Les revendication 15 et 16 sent identiques aux revendications 2 et 3 et done, leur 
objet est considere comme nouveau (Article 33(2) PCX) et impliquant une activite 
inventive aussi (Article 33(3) PCX). 
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4.2 Les revendications 17-20 dependent de la revendication 15 et satisfont done 
egalement, en tant que telles, aux conditions requises par le PCX en ce qui 
concerne la nouveaute et I'activite inventive. 



VII. Irregularites dans la demande Internationale 

1 . En vue de remplir les conditions de la Regie 6.3(b) PCT, les revendications 
independantes devraient etre correctement presentees en deux parties, les 
caracteristiques qui, combinees, sont comprises dans I'etat de la technique (voir 
docunnent D1) etant indiquees dans la premiere partie. 

2. En vue de remplir les conditions enoncees a la Regie 1 1 .13(1), les signes de 
reference 1 et 2 mentionnes dans la description a la page 7, lignes 19 et 24 
doivent apparaitre au moins dans un des dessins ou ne doivent pas apparaitre 
dans la description. 

3. Le Demandeur devra corriger les erreurs suivantes dans la description: 



a la page 13, ligne 22: 



P 



ii) a la page 13, ligne 22: 



iiii) revendication 5: 



log„(x)= 



jc-1 



n 
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VIII. Observations relatives a la demande internationale 

1 . Salon le PCT il n'existe en realite que deux types fondamentaux de 
revendications. a savoir las revendications portant sur une antite physique 
(dispositif) at las revendications portant sur une activite (procede) (Cf. Directives 
PCT C-lll, 3.1). 

Par consequent, une revendication de dispositif ne devrait contenir que des 
caracterlstiques structurelles (moyens pour...) at non das caracteristiques 
fonctionnalles. 

A ce propos, des formulations utilisees, par exemple, comme: 

"systenne .. a cles ... genereas selon la revendication 1" (revendications 2, 9 et 

15); 

"systema... caracterise en ce que un procede da chifframent est mis en oeuvre..." 
(revendications 2, 9 et 15);; 

"la dispositif: effectua... calcule..." Qeux de revendications); 

"Procede salon la revendication 17 (revendication de systeme) 

na pauvent pas etra considerees comme definissant ni des caracteristiques 

structurelles ni des activites (fonction) et done ne sont pas clairement ni 

revendication d'appareil ni revendication da procede. 

La clarte des revendications est d'une extreme importance, etant donne le role 
qu'elles jouent dans la definition de la matiere pour laquelle la protection est 
damandee. En raison des differences d'etendua da la protection que Ton peut 
attribuar aux divarses categories de revendications, la taxte d'une revendication 
ne doit laisser subsister aucun doute quant a la categorie a laquelle elle appartient 
(Article 6 du PCT et Directives PCT C-lll, 4.1). 

A cet egard, la Damandeur aurait du de preference presenter tous les 
revendications sous la forme da revendications de procede. 

2. L'objet des revendications 15 et 16 n'est qu'une repetition des revendications 2 et 
3 respectivement et les deux revendications ne sont pas concise comme I'exige 
I'Articlee PCT. 
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3. L'objet de la revendication 1 n'est pas clairement defini comme I'exige TArticle 6 
PCT pour la raison suivante: le parametre "m" n'a pas ete defini dans les 
revendications avant de Tutiiiser dans {'expression mathematique associee. 
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PROCEDE CRYPTOGRAPHIQUE A CLES 
PUBLIQUE ET PRIVEE 

La presente invention concerne un precede 
cryptographique a cles publique et privee. II est utilisable 
dans toutes les applications dans lesquelles il est 
n6cessaire d'assurer la confidentialite des messages 
5 transmis sur un canal quelconque et/ou d'identifier avec 
certitude un dispositif avec. lequel on echange des 
messages. 

La confidentialite de messages transmis entre deux 
dispositifs A et B sur un canal de communication 
10 quelconque est obtenue en chiffrant 1 ' information 
transmise pour la rendre inintelligible aux personnes a qui 
elle n'est pas destinee. L'identification certaine d'un 
dispositif est lui base le calcul de la signature numerique 
d'un message. 

15 En pratique, deux types de precede cryptographique 

peuvent etre utilises celui dit symetrique. a cles secretes, 
dont un exemple bien connu est le DES. ..celui dit 
asymetrique, utilisant une paire de cles publique et privee 
et decrit dans " Public_key cryptosystem " dans " New 

20 directions in Cryptographie " IEEE Transactions on 
Information Theory, nov. 1976. par MM Diffie et Hellman. 
Un exemple bien connu de precede asymetrique est le RSA, 
du nom de ses inventeurs Ronald Rivest, Adi S.liamir et 
Leonard Adleman. On peut trouver une description de ce 

25 precede RSA dans le brevet americain US 4, 405, 829. 

Dans I'invention. on s'interesse plus particulierement 
a un precede cryptographique asymetrique. 

Un precede de chiffrement selen un proc6de 
cryptographique asymetrique consiste principalement. pour 

30 un emetteur A qui veut envoyer confidentiellement un 
message a un destinataire B a prendre connaissance, par 



FEUILLE MODIFI E 




THIS PAGE BLANK (uspto) 



02-03-2001 



FR 009902918 



10 



15 



20 



25 



exemple dans un annuaire, ■ de la cle publique Kb du 
destinataire B, a appliquer dans le proced6 de chiffrement 
E sur le message m a transmettre. et a envoyer au 
destinataire B, le cryptogramme c r6sultant : 
c= EKB(m). 

Ce precede consiste principalement pour le 
destinataire B, k recevoir le cryptogramme c, et k le 
dechiffrer pour obtenir le message d'origine m. en 
appliquant la cle privee K'b qu'il est le seul a connaitre dans le 
precede de dechiffrement D sur le cryptogramme c : m=DK.B(c). 

Selon ce procede " n'impoVte qui peut envoyer un 
message chiffre au destinataire B, mais seul ce dernier est 
capable de le dechiffrer. 

On utilise habituellement un procede cryptographique 
asymdtrique pour la generation/verification de signature 
Dans ce contexte, un utilisateur qui veut prouver son 
identite utilise une cle privee, connue de lui seul. pour 
produire une signature numerique s d'un message m 
signature qu'il transmet au dispositif destinataire. Ce 
dernier met en oeuvre la verification de la signature en 
utilisant la cle publique de Tutilisateur. Tout dispositif a 
ainsi la capacite de verifier la signature d'un utilisateur. 
en prenant connaissance de la cU publique de cet 
utilisateur et en I'appliquant dans I'algorithme de 
verification. Mais seul I'utilisateur concerne a la capacite 
de generer la bonne signature utilisant sa cle privee. Ce 
procede est par exemple beaucoup utilise dans les 
systemes de controle d'acces ou de transactions bancaires. 
II est en general couple a I'utilisation d'un procede de 
30 chiffrement, pour chiffrer la signature avant de la 
transmettre. 

Pour cette g6neration/v6rification de signatures 
numeriques, on peut utiliser en pratique des precedes 
cryptographiques asymetriques dedies k cette application. 
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tel le DSA (Digital Signature Algorithm) , qui correspond a 
un standard americain propose par le US National Institute 
of Standards and Technology. On peut en outre utiliser le 
RSA qui a la propriete de pouvoir etre utilise aussi bien 
en chiffrement qu'en generation de signature. 

Dans I'invention, on s'interesse a un precede 
cryptographique qui puisse etre utilise pour le chiffrement 
des messages et pour la generation de signature numerique. 
Dans I'etat actuel de la technique, seul le RSA, dont il 
existe de nombreuses variantes de mise en oeuvre, offre 
cette double fonctionnalite. 

Le RSA comprend une 6tape de generation des cles 
publique K et privee K' pour un dispositif donne dans 
laquelle on procede de la fa?on suivante : 

- on choisit deux grands nombres premiers p et q, 
distincts. 

- on calcule leur produit n=p.q. 

- on choisit un nombre e premier avec le plus petit 
commun multiple de Cp-l)(q-l). En pratique, e est souvent 

20 pris egal a 3. 

La cle publique K est alors formee par le couple de 
parametres (n,e) et la cle secrete K' est formee par le 
couple de paramfetres (p,q). 

En choisissant p et q de grande taille, leur produit n 
25 est aussi de grande taille.N- n est done tres difficile a 
factoriser : on est assure que I'on ne pourra pas retrouver 
la cle secrete K' = (p,q) i partir de la connaissance de n . 

Le procede de chiffrement d'un nombre 
representant un message M, 0<m<n consiste alors, 
30 effectuer le calcul suivant : 
c= EB(m)= m'mod n 

au moyen de la cle publique K=(n,e). 

Le procede de dechiffrement consiste lui dans le 
calcul inverse suivant : 



m 
k 
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m = c*'mod(n) 

au moyen de la cle privee K'=(p,.q), gardee secrMe, 

ou 

1 

^= mod (p-l)(q-l). 

e 

On a vu que le RSA a la particularite d'etre utilisable 
pour la verification de signature. Le precede 
correspondant de generation de signature par un utilisateur 
A consiste a utiliser le precede de dechiffrement avec la 
cle secrete pour produire la signature s d'un nombre m 
representatif d'un message. On a ainsi : s=in^mod n. 

Cette signature s est transmise a un destinataire B.Ce 
dernier, qui connait m (par exemple. A transmet s' et in), 
verifie la signature en effectuant I'operation inverse, c'est 
a dire en utilisant le precede de chiffrement avec la cle 
publique de I'emetteur A. C'est a dire qu'il calcule 
15 v=s'niod n, et v6rifie v=m. 

En general, pour ameliorer la s6curit6 d'un tel 
precede de verification de signature, on applique 
prealablement une fonction de hachage sur le nombre m 
avant de calculer la signature, qui peut consister en des 
20 permutations de bits et/ou une compression. 

Quand on parle de message M a chiffrer ou k signer, 
il s'agit bien sur de messages numeriques, qui peuvent 
resulter d'un codage numerique prealable. Ce sont en 
pratique des chaines de bits, dont la taille binaire (nombre 
25 de bits) peut etre variable. 

Or un precede de cryptographic comme le RSA est tel 
qu'il permet de chiffrer avec la cl6 publique (n,e) 
n'importe quel nombre entre 0 et n-1. Pour I'appliquer a 
un message M de taille quelconque, il faut done en 
pratique couper ce message en une suite de nombres m qui 
verifieront chacun la condition 0^m<n. On applique alors 
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le precede de chiffrement sur chacun de ces nombres. Dans 
la suite, on s'int6resse done a I'application du precede 
cryptographique sur un nombre m representatif du message 
M. m peut-8tre egal a M, ou en n'Stre qu'une partie. On 
designe alors indifferemment dans la suite par m le 
message ou un nombre representatif du message. 

Un objet de Tinvention, est un proced6 de 
cryptographie asymetrique different de ceux bases sur le 
RSA. 

Un objet de Tinvention, est un procede reposant sur 
d'autres proprietes, qui puisse *s'appliquer aussi bien en 
chiffrement de messages qu'en generation de signatures. 

Un objet de I'invention, est un procede de 
cryptographique qui permette, dans certaines 
configurations, un temps de traitement plus rapide. 

Telle que caracterisee, I'invention concerne un 
procede cryptographique selon la revendication 1. 

L'invention sera mieux comprise a la lecture de la 
description suivante , faite k titre indicatif et nullement 
20 limitatif de I'invention et en reference aux dessins 
annexes dans lesquels : 

- la figure 1 est un schema fonctionnel d'un systeme 
de communication cryptographique de type asymetrique; 

- la figure 2 est un schema fonctionnel d'un 
25 dispositif communiquant utilise dans un systeme de 

communication cryptographique selon I'invention; 

- la figure 3 est un organigramme d'une session de 
chiffrement/dechiffrement de messages utilisant le proced6 
cryptographique selon I'invention; et 

- la figure 4 est un organigramme d'une session de 
generation/verification de signature utilisant le procede 
cryptographique selon I'invention. 

Pour bien comprendre I'invention, il est necessaire de 
faire quelques pr 61iminaires math6matiques . 



30 
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Dans la description, • on utilise les notations 
mathematiques suivantes : 

(1) Si a est un entier relatif et b un entier 
strictement positif, a mod b (a modulo b) est le residu 
5 modulaire de a relativement a b et designe I'unique entier 
strictement inferieur a b tel que b divise (a - a mod b). 

(2) (Z/bZ) designe I'ensemble des residus modulo b et 
forme un groupe pour I'addition modulaire 

(3) (Z/bZ) designe I'ensemble des entiers inversibles 
10 modulo b et forme un groupe pour la multiplication 

modulaire. 

(4) L'ordre d'un element a de (Z/bZ)' est le plus 
petit entier naturel ord(a,b) tel que a°'"^^*"''^= 1 mod b. 

(5) PPCM (a,b) designe le plus petit commun multiple 
15 de a et b. 

(6) PGCD(a,b) designe le plus grand commun diviseur 
de a et b. 

(7) A.(a) designe I'indicateur d'Euler de a. Si a=p.q, 
X(a) = PPCM(p-l,q-l). ^ 

On note x=TRC(aj ....a^. b,,...bk) I'unique 
solution, obtenue par la mise en oeuvre du Th6oreme du 
Reste Chinois bien connu, du systeme d'equations 
modulaires suivant : 
x = ai mod bj 
25 x= a2 mod bj 

x= aic mod b^. 

OTi les entiers Ej et bj sont donnis et oil, Vi,j avec 
PGCD(bi, bj)=l. 

(9) rappelle que la taille binaire d'un nombre a 
est le nombre de bits sur lesquels a s'ecrit. 
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Soit maintenant un nombre n, entier, de taille 
arbitraire. L'ensemble Un={x<n^ /x=l mod n} est un sous- 
groupe multiplicatif de (Z/n^Z)'. 

Soit alors log„ la fonction definie sur I'ensemble Un 



par 



x-1 



n 



Cette fonction a la propri6te suivante : 

V xsUn, V ys Un, log„(xy mod n')= Iog„(x) + log„(y) 
mod n. 

Par consequent, si g est un nombre entier arbitraire 
appartenant a Un, on a pour tout nombre m, 0<m<n : 
lognCg" mod n^)=m.log„(g) mod n^. 

Cette propriete mathematique est a la base du procede 
de cryptographic mis en oeuvre dans I'invention qui va 
maintenant etre decrite. 

La figure 1 represente un systeme de communication 
cryptographique, utilisant un proc6de cryptographique 
asymetrique. II comprend des dispositifs communiquants, 
dans rexemple A et B, sur un canal de communication 1* 
Dans rexemple, on a represente un canal bidirecti onnel. 
Chaque dispositif contient une paire de cles publique K et 
privee K' . 

Les cles publiques sont par exemple publiees dans un 
fichier public 2 tel qu'un annuaire, que chaque dispositif 
peut consulter. Dans ce fichier public, on trouvera ainsi la 
cle publique du dispositif A et celle Kb du dispositif B. 

La cle privee K' de chaque dispositif est conservee 
par lui de fa9on secrete, typiquement dans une zone 
securisee de memoire non volatile. Le dispositif A 
contient ainsi en memoire secrete sa cle privee K'^ et le 
dispositif B contient ainsi en memoire secrete sa cle 
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privee K'b- lis conservent aussi leur cle publique, mais 
dans une zone memoire sans protection d'acces 
particuliere. 

Dans un tel systeme, le dispositif A pent chiffrer un 
5 message m en un cryptogramme en utilisant la cle 

publique Kb du dispositif B; ce dernier peut dechiffrer c^ 
en utilisant sa cle privee K'b, qu'il conserve secretement. 
Inversement, le dispositif B peut chiffrer un message m en 
un cryptogramme Cb en utilisant la cle publique du 

10 dispositif A; ce dernier peut dechiffrer Cb en utilisant sa 
cle privee K\, qu'il conserve secretement. 

Typiquement, chaque dispositif comprend au moins,' 
ccmme represente sur la figure 2, des moyens de 
traitement 10, c'est a dire une unite centrale de traitement 

15 (CPU), comprenant notamment differents registres R pour 
le calcul, une interface de communication 11 avec le canal 
de communication, et des moyens de memorisation. Ces 
moyens de memorisation comprennent generalement une 
memoire programme 12 (ROM, EPROM, EEPROM) et une 

20 memoire de travail (RAM) 13 . En pratique, chaque 
dispositif conserve ses donnees secretes dans une zone 
d'acces s^curisee 120 prevue en memoire programme et ses 
donnees publiques dans une zone d'acces normal de cette 
memoire. La m6moire de travail permet de conserver 

25 momentanement, le temps necessaire aux calculs, des 
messages i chiffrer, des cryptogrammes a dechiffrer, ou 
encore des resultats de calculs intermddiaires. 

Les moyens de traitement et de memorisation 
permettent ainsi d'executer des programmes lies k 

30 I'application, et notamment d'effectuer les calculs 
correspondant a la mise en oeuvre du precede de 
cryptographie pour le chiffrement /dechiffrement de 
messages et/ou la generation/verification de signatures, 
selon I'invention. Ces calculs comprennent notamment, 
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comme on le verra de fafon- detaillee dans la suite, des 
elevations a la puissance, des residus et inveriions 
modulaires . 

Les dispositifs peuvent encore comprendre un 
generateur 14 de nombre aleatoire ou pseudo-aleatoire r , 
qui peut intervenir dans les calculs precit^s. dans 
certaines variantes de realisation. Ce generateur est 
encadre en pointille sur la figure 2, pour indiquer qu'il 
n'est pas necessaire a la realisation de toutes les variantes 
de realisation selon Tinvention. 

Tous ces moyens du dispositif sont connectes a un 
bus d'adresses et de donnees 15. 

De tels dispositifs utilises dans I'invention sont bien 
connus, et correspondent par exemple k ceux qui sont 
15 utilises dans les systemes de communication 
cryptographique de I'etat de la technique, mettant en 
oeuvre le RSA. lis ne seront done pas detaill^s plus avant. 
Un exemple pratique de systeme de communication 
cryptographique, est le systeme forme des serveurs 
20 bancaires et des cartes k puce, pour la gestion de 
transactions financieres. Mais il existe de nombreuses 
autres applications, telle les applications liees au 
commerce electronique 

Un premier mode de realisation de I'invention va 
25 maintenant Stre detaille, au regard de I'organigramme 
represents sur la figure 3. 

Get organigramme represente une sequence de 
communication entre un dispositif A et un dispositif B sur 
un canal de communication 20. Ces dispositifs 
comprennent au moins les moyens de traitement. de 
memorisation et de communication decrits en relation avec 
la figure 2. 



30 
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Le precede de crypfographie selon 1 ' invention 
comprend un precede de generations des cles publique K et 
privee K'. 

Selon rinvention, ce precede de generation des cles 
publique et privee d'un dispositif comprend les etapes 
suivantes qui sont deji connues dans le document de 
YASUKO GOTOH et al publie en Janvier 1990 au JAPON, 
sous les references XP000177817, ISSN : 0882-1666, voL 
21 n° 8 - pages 11-20 de « a method for rapid RSA Key 
generation » de I'ouvrage « Systems & Computers »: 

- selection de deux grands nombres premiers p et q 
distincts et de taille voisine; 

- calcul du nombre n egal au produit p.q; 

- calcul du nombre l(n)^PP CM(p- 1 , q-1), c'.est k dire 
15 de la fonction de Carmichael du nombre n; 

- determination d'un nombre g, 0<g < n^, qui 
remplisse les deux conditions suivantes : 

a) g est inversible modulo n^ et 

b) ord(g,n^)=l mod n. 

20 Cette condition b) indique que I'ordre du nombre g 

dans I'ensemble (Z/n^Z)' des nombres entiers de 0 a n^ est 
un multiple non nul du nombre n, selon les notations 
definies plus haut. 

La cle publique K est alors formee par le nombre n et 

25 le nombre g. La cle privee est formee par les nombres p.q 
et A.(n) ou seulement par les nombres p et q, A.(n) pouvant 
etre recalcule a chaque utilisation de la cl6 secrete. 

On genere selon ce precede les cl6s publique et 
privee de chaque dispositif. Cette g6n6ration peut-etre 

30 effectuee, selon les dispositifs consid6res et les 
applications, par les dispositifs eux-memes ou par un 
organe externe. 
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Chaque dispositif, par" exemple le dispositif A. 
contient done en memoire sa cle publique =(n;,,g^) et, 
de fafon secrete, sa cle privee K\=(p^,q^). 

En outre, les cles publiques sont mises dans un 
fichier accessible au public. 

Selon rinvention, on verra ci-dessous qu'elle 
consiste k donner une valeur particuliere k g. En effet. il 
est avantageux de choisir g=2, lorsque c'est possible, c'est 
a dire, lorsque g=2 remplit les conditions a) et b) du 
precede de generation de signature selon I'invention. 

Un proced6 de chiffrement selon un premier mode de 
realisation du precede cryptographique de I'invention mis 
en oeuvre dans le dispositif A consiste alors, pour Tenvoi 
d'un message au dispositif B, dans la realisation des 
15 etapes suivantes, avec 0<m<n: 

- renseignement des parametres n et g du precede de 
chiffrement mis en oeuvre par le dispositif A par la cl6 
publique Kb du deuxieme dispositif B : n =nB, g=g 3 

- calcul du cryptogramme c 5=g'^mod n^, et 

- transmission du cryptogramme c sur le canal de 
communication. 



20 



25 



30 



Le precede de chiffrement selon nn premier mode de 
realisation de I'invention consiste done a prendre le 
parametre g de la cle publique, a I'^lever k la puissance m. 
et a calculer le residu modulaire relativement k n^ On 
notera que dans le RSA, c'est le message m qui est eleve a 
la puissance alors que dans I'invention, le message m est 
utilise cemme exposant. 

Le dispositif B qui re9oit le message chiffre, c'est a 
dire le cryptogramme c, met alors en oeuvre un precede de 
dechiffrement selon I'invention avec les parametres de sa 
cle priv6e. Ce precede de dechiffrement comprend le 
calcul suivant : 
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calcul du nombre m ttl que 



log„(c^<">mod ) 

mod n 

log„(g^<")mod n-) 



ou 



x-1 



log„(x)= 



n 



Si g=2, on voit que le calcul d'^levation de g a la 
puissance est facilite. On prendra done de preference g=2, 
toutes les fois ou ce sera possible. En d'autres termes* le 
procede de generation des cles commencera par essayer si 
g = 2 remplit les conditions a) et b). 

Differentes variantes de . calcul du procede de 
d6chiffrement peuvent etre mises en oeuvre, qui 
permettent, lorsque le dispositif doit dechiffrer un' grand 
15 nombre de cryptpgrammes. de precalculer certaines 
quantites et de les conserver de fa9on secrete dans le 
dispositif. Une . contrep artie est que la zone m6moire 
secrete (zone 120 sur la figure 2) du dispositif doit -gtre 
plus etendue, puisqu'elle doit alors contenir alors des 
parametres supplementaires en plus des parametres p et q. 
Ceci n'est pas sans influencer le choix de mise en eouvre 
d'une variante ou d'une autre. En effet. la realisation 
d'une zone de m^moire securisee est couteuse, et done de 
capacite (memoire) generalement limitee, notamment dans 
25 les dispositifs dits a bas couts (par exemple. certains 
types de cartes a puce). 

Dans une premiere variante de mise en oeuvre du 
procede de dechiffr ement, on pr6voit que le dispositif, B 
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en I'occurrence. precalcule" ubc fois pour toutes la 
quantite : 

o'n.g= log„(g^(">mod n^ mod n 
et la conserve secrete en memoire. 
5 Ainsi, on reduit d'autant le temps necessaire au 

dechiffrement de chacun des messages re9us par le 
dispositif. En effet. lorsque que le dispositif B execute" 
une instance de cette variante du precede de 
dechiffrement, il ne lui reste plus qu'a calculer : 
10 m= log„(c^^")mod n^ ) ot„.g ^od n. 

Dans une deuxieme variante de mise en oeuvre du 
precede de dechiffrement selon ^invention, on pr6voit 
d'utiliser le Th6ordme du Reste Chinois, pour une 
15 meilleure efficacite (rapidite du calcul). 

Dans une instance de cette deuxieme variante du 
procede de dechiffrement. le dispositif effectue les calculs 
(de dechiffrement) suivants : 

1 mp=logp(cP-i mod p')logp(gP-^ mod p^)-^ mod p 
20 2 m, = log,(c''-» mod q')Iogp(g''-' mod q^)'^ mod q 

3 m = TRC(mp,mq,p,q), ot 
x-1 

logp(x) et 



P 
x-1 



lOgq(x) 



q 

Dans ce cas, on pent en outre prevoir, dans les cas ou 
le dispositif est amen6 k dechiffrer un tres grand nombre 
de messages, que le dispositif pr6calcule une fois pour 
25 toutes les quantit6s suivantes : 

<^P.g= logp(gP"'mod p^ mod p et 

C'q.g = logqCg^-Vcd q ^ mod q. 
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Le dispositif doit alors conserver ces quantites 
comme donnees secretes. 

Le calcul effectue lors d'une instance du procede de 
dechiffrement devient : 

1. mp=logp(c''*' mod p^) ap.g mod p 

2. mq=logq(c''"' mod q^) ttq.g mod q 

3. m=TRC(mp,m,,p,q). 

Comme deja precise, toutes ses variantes de calcul de 
dechiffrement sont interessantes lorsque le dispositif est 
amen6 a dechiffrer un tres grand nombre de messages, et 
que le gain en temps de traitement compense la plus 
grande capacite memoire de la zone securisee pour 
conserver toutes las donnees secretes. Le choix de Tune 
ou I'autre variante depend en pratique de Tapplication 
consideree et des contraintes de couts et de temps de 
traitement a concilier. 

Un deuxieme mode de realisation de I'invention 
comprend Tutilisation d'un nom^bre aleatoire, fournit par 
un generateur de nombre aleatoire (ou pseudo-aleatoire), 
dans le procede de chiffrement, en sorte que pour un meme 
message m a transmettre, le cryptogramme calcule c sera 
different a chaque fois. La securite du systeme de 
communication est done plus grande. Le procede de 
dechiffrement est inchange. 

Ce deuxieme mode de realisation de I'invention 
comprend deux variantes. 

Dans une premiere variante, le cryptogramme c' est 
obtenu par le calcul suivant : c=g"'^"^ mod n^' 

Dans une deuxieme variante, le cryptogramme c est 
obtenu par le calcul suivant : c = g"r" mod n^ 

Cette deuxieme variante necessite en pratique un 
temps de traitement plus long que la premiere, mais elle 
offre une plus grande securite. 
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Dans un troisifeme mode de realisation de I'invention 
on impose que I'ordre de g dans (Z/nZ)' soit un entier de 
petite taiUe, ceci 6tant obtenu par une mise en oeuvre du 
procede de generation des cl6s differente. 

Avec une telle condition sur I'ordre du param^tre g. 
on reduit la complexite du calcul du procede d"e 
dechiffrement qui devient en pratique quadratique 
(fonction de n^) par rapport k la taille du nombre n. 

Dans ce troisieme mode de realisation de Tinvention, 
le procede de generation des cles publique et priv6e est 
alors le suivant : 

- selection en secret, d'un entier u et de deux grands 
nombres premiers p et q distincts et de taille voisine tels 
que u divise (p-1) et divise (q-1). 

- calcul du nombre n egal au produit p.q; 

- calcul du nombre >.(n)=PPCM(p- 1 , q-i). c'est a dire 
de I'mdicateur de Carmichael du nombre n; 

- determination d'un nombre h, 0<h< n^ qui 
remplisse les deux conditions suivantes : 

a) h est inversible modulo n^ et 

b) ord(h,n^ )=0 mod n. 

- calcul du nombre g= h^^"^'" mod n^. 

La cU publique K est alors formee par le nombre n et 
le nombre g. La cle priv6e est constituee par les entiers 
(p,q,u) conserves secretement dans le dispositif. 

De preference, on choisit h=2, lorsque c'est possible 
(c'est a dire si h=2 remplit les conditions a) et b), pour 
faciliter le calcul de g), 
30 On notera que si u =PGCD(p-l .q- 1 ), il n'est pas 

necessaire de conserver ce nombre qui peut-etre retrouve 
par le dispositif a partir de p et q 

De preference, on choisira u premier, pour am61iorer 
la securite du procede, et de petite taille, typiquement 160 
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bits. En choisissant une petite taille pour u, on verra que 
Ton facilite le calcul de dechiffrement. 

Dans ce troisieme mode de realisation, la mise en 
oeuvre du procede de chiffrement pour chiffrer un message 
m est identique a celle precedemment d6crite dans le 
premier mode de realisation de I'invention, le 
cryptogramme etant 6gal ^ c = g" mod n*. 

On peut aussi calculer le cryptogramme c en utilisant 
une variable aleatoire r selon la premiere variante du 
deuxieme mode de realisation de i'invention precedemment 
decrit. r est alors un entier aleatoire, de meme taille que u 
et le cryptogramme est obtenu par le calcul suivant • 
c=g"'*"^mod n^ 

Le cryptogramme. c calcule selon I'une ou I'autre 
mise en ceuvre precedente du procede de chiffrement est 
envoye au dispositif B qui doit le dechiffrer. La mise en 
ceuvre du procede de dechiffrement par le dispositif B qui 
re9oit le message est un peu differente. 

En effet, le calcul effectue dans le dispositif dans 
une instance de dechiffrement, pour retrouver le nombre m 
a partir du cryptogramme c devient le suivant : 
logn(c" mod n^) 

mod n. 

logn(g" mod n^) 

On peut appliquer comme precedemment des variantes 
de calcul qui permettent d'accelerer le temps de traitement 
necessaire. 

Dans une premiere variante, on va ainsi pr6calculer 
une fois pour toutes la quantite : 

Pn.g=logn(g" mod n^) mod n 
et la conserver secretement en memoire. 

Lors d'une instance de dechiffrement d'un 
cryptogramme c refu, le dispositif n'a plus qu'i effectuer 
le calcul suivant : 
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m = Iog(c" mod n^). P„,g mod n. 

Dans une deuxieme variante, on met en oeuvre le 
Theoreme du Reste Chinois, en utilisant les fonctions logp 
et logq deja vues pour effectuer le calcul de dechiffrement' 

.Lots d'une instance de cette variante du precede de 
dechiffrement du cryptogramme c regu, le dispositif 
effectue alors les calculs suivants : 

1. mp = logp(c" mod p^)logp(g" mod p^)"^ mod p 

2. mq=logq(c" mod q^)logq(g" mod q^) '^mod q 

3. m =TRC(mp.mq,p,q). 



Dans une troisieme variante, on accelere- encore le 
temps de traitement necessaire au dechiffrement du 
15 cryptogramme c selon la deuxieme variante, en 
precalculant les quantites suivantes : 

Pp.g = log(g" mod p^) mod p 

P<».g = log(g" mod q^)"^ mod q 

et en les conservant de^ fa9on secrete dans le 
20 dispositif. 

Lors d'une instance de calcul de cette troisidme 
variante du precede de dechiffrement du cryptogramme c 
re9u. le dispositif n'a alors plus qu'a effectuer les calculs 
suivants : 

25 1. mp = logp(c" mod p^) g mod p 

2. mq = logq(c" mod q^) ^ mod q 

3. m =TRC(mp.mq,p,q). 



Dans un quatrieme mode de realisation de I'invention, 
le precede de chiffrement et le precede de dechiffrement 
sont tels qu'ils pr6sentent la particu.larite d'etre des 
permutations sur le groupe des entiers modulo n^ En 
d'autres termes, si le message m s'exprime sur k bits, le 
cryptogramme c obtenu en appliquant le proc6d6 ' de 
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chiffrement sur m et la signature s obtenue en appliquant 
le procede de dechiffrement sur m sont aussi sur k bits. 

Cette particularit6 confere au procede 

cryptographique la propriete supplementaire de pouvoir 
Stre utilise aussi bien en chiffrement/dechiffrement qu'en 
generation/verification de signature. Dans ce cas, le 
procede de d6chiffrement est employe comme proced6 de 
generation de signature et le procede de chiffrement 
comme procede de verification de signature. 

Dans ce quatrieme mode de_ realisation, le procede de 
generation des cles publique et privee est le meme que 
celui du premier mode de realisation de I'invention : 
K = (n,g) et K'=(p,q,X.(n)) ou K' = (p,q). 

Si le dispositif A veut envoyer un message m-chiffre 
au dispositif B, il se procure la cle publique (n.g) de ce 
dernier, puis dans une instance du precede de chiffrement. 
effectue alors les calculs suivants, applique au nombre m' 
0< m<n^ : 

1 • mi=m mod n 

20 2. m2 = (m-ml)/n (division euclidienne) 

3. c=g™' ms" mod n^ 

C'est ce cryptogramme c qui est envoye au dispositif 
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Ce dernier doit done lui appliquer le proced6 de 
dechiffrement correspondant, pour retrouver m^, mz et 
finalement m. Ce procede de dechiffrement selon le 
quatrieme mode de realisation de I'invention consiste i 
effectuer les calculs suivants : 

1- m, = log„(c^<") mod n^ ).log„(g^(") mod n^ mod n. 
2. w=cg*'"' mod n . 

J . mj-w mod n . 

4. m = mi + iim2. 
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Comme precedemmeii.t, des variantes du precede de 
dechiffrement selon ce quatridme mode de realisation de 
l-invention sont applicables, qui permettent de reduire le 
temps de traitement necessaire pour dechiffrer un message 
donne. Elles sont interessantes lorsque le dispositif a un 
grand nombre de cryptogrammes i dechiffrer. 

Une premiere variante consiste a pr6calculer les 
quantites suivantes : 

an.g=log„(g^f"> mod n^)"' mod n et 
Yn= 1/n mod A.(n) 

que le dispositif B calcule une fois pour toutes et 
conserve secretes en m6moire. 

A chaque nouvelle instance de dechiffrement d'un 
cryptogramme c repu selon cette premiere variante, le 
dispositif B n'a plus qu'a effectuer les calculs suivants' : 

1. m, = log„(c^^"> mod n^ ) a^.g mod n. 

2. w = cg"'"' mod n . 

3. m2 = w'^" mod n. 

4. m = mi + nm2. 

Dans une deuxifeme variante de la mise en oeuvre du 
proc^de de dechiffrement selon le quatrieme mode de 
realisation, on utilise le Theoreme du Reste Chinois. 

Le dispositif qui veut . dechiffrer un cryptogramme c 
selon cette deuxieme varainte effectue alors les calculs 
successifs suivants : 

1- nii.p = logp(c''-^ mod p')logp(gP-' mod p^)'' mod p 

2. Wp=cg-""'P mod p 

3. m2.p = Wp^^'' mod p 

4- m,., = log,(c''-' mod q')log,(g'»- ^ mod q^)'^ mod q 

5. Wq=cg'"^'*' mod q 

6. m2.q=w,''P mod q 

7. mi=TRC(mi.p,m2.p,p,q). 

8. in2=TRC(m:.„m2.,,p,q). 
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9. m - mi + pqm2. 

■ . Dans une troisieme variante. pour ameliorer encore le 
temps de traitement du dechiffrement de cette deuxieme 
variante. le dispositif B peut precalculer une fois pour 
toutes les quantites suivantes : 

«P.s = logp(g''-^ mod p2)-i mod p 
"q.s^logqCg"'^ mod q^)-' mod q 
yp= 1/q mod p-1 
yq= 1/p mod q-1 
et les conserver secretes en memoire. 

Le dispositif qui veut dechiffrer un cryptogramme c 
selon cette troisieme varianten'a plus qu'a effectuer les 
calculs suivants: 

1- m,.p = logp(c''-' mod p2) ttp.g mod p 
2. Wp = cg-""-P mod p 

3- ni2,p=Wp^P mod p 

4- ni,,q = logq(c''-' mod q^) a,.g mod q 
5. Wq=cg-'"''*i mod q 

20 6. m2,q=Wq*^*' mod q 

7. mj=TRC(mi,p,m2.p,p,q). 

8. ni2=TRC(mi.,,m2.„p,q). 

9. m = mi + pqm2. 
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Le quatrieme mode de realisation de I'invention qui 
vient d'etre decrit permet de faire de la generation/ 
verification de signature. Comme represent^ sur 
I'organigramme de la figure 4, si le dispositif B doit 
generer une signature s d'un nombre m repr6sentatif d'un 
message vers le dispositif A, il applique comme precede 
de generation de la signature, le proc6d6 de dechiffrement 
avec sa cle privee : s=Df5..a(m). 

Le dispositif A qui refoit la signature s et qui 
connait le message m, verifie que la signature est bonne en 
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calculant la quantite v obtenue en appliquant le precede de 
chiffrement sur la signature s avec la cle publique : 
v-Ekb(s). Si la signature est bonne, on a v=m. 

Toutes les variantes de mise en oeuvre du proc6de de 
dechiffrement de ce quatrieme mode de realisation qui 
permettent d'accelerer le temps de traitement sont aussi 
bien applicable en generation/verification de signature. 

L'invention qui vient d'gtre decrite est applicable 
dans tons les syst^mes ou I'on yeut pouvoir chiffrer et/ou 
signer des messages. Elle permet d'elargir les possibilites 
d'adaptation aux differentes applications, selon que I'on 
recherche plus de securite. ou une vitesse de traitement 
accrue. A cet egard. on notera que le troisieme mode de 
realisation de I'invention, dont la complexite de calcul est 
seulement quadratique (fonction de n=) offre un reel 
avantage en terme de vitesse, dans la mesure ou tons les 
proc6des de I'etat de la technique ont un ordre de 
complexity superieur (fonction ^de n^ ). Un tel avantage 
int6resse plus p articulierement toutes les applications 
utihsant des dispositifs portables, tels les cartes a puces 
et plus particulierement les dispositifs a bas cofits. 

Enfin, toute personne experimentee dans la technique 
concernee par I'invention comprendra que des 
modifications dans la forme et/ou des details peuvent 6tre 
effectues. En particulier on pent chiffrer la signature ou 
encore appliquer une fonction de hachage au message m 
avant de calculer sa signature. Cela permet notamment 
d'avoir une signature differente a chaque fois meme si le 
message m est inchange. 
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REVENDICATIONS 

1. Precede cryptographique comprenant ua precede de 
generation de cl^s publique (K) et privee (K') dans un 
dispositif apte a echanger des messages sur au moins un 
canal de communication, la cl6 privee devant etre 
conservee de fapon secrete dans ledit dispositif et la cle 
publique devant Stre diffus6e publiquement, le proc6de de 
generation comprenant les etapes suivantes : 

- selection de deux nombres premiers p et q 
distincts, de taiUe voisine; 

- calcul d'un nombre n 6gal au produit p.q; 

- calcul du plus petit commun multiple des nombres 
(p-1) et (q-1) : ?L(n) = PPCM(p- 1 , q-1) 

- determination d'un nombre g , 0<g<n^ qui verifie 
les deux conditions suivantes lors du calcul d'un 
cryptogramme c : c = g" mod n':, 

a) g est inversible modulo n^ et 

b) ord(g,n^) = 1 mod n, 

la cle publique dudit dispositif etant form^e par les 
parametres n et g et sa cle privee etant formee par les 
parametres p.q et X(n) ou par les parametres p et q, 
precede de generation, caracterise en ce qu'il consiste i 
prendre g=2, si g verifie les dites conditions a) et b). 

2 . Systeme de communication cryptographique k 
cles publique et privee gener^es selon la r evendication 1, 
comprenant un canal de communication (20) et des 
dispositifs communiquant (A, B), chaque dispositif 
comprenant au moins une interface de communication (11), 
des moyens de traitement de donn^es (10) et des moyens de 
memorisation (12, 13), caracterise en ce qu'un precede de 
chiffrement est mis en oeuvre dans un premier dispositif 
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(A) pour envoyer un nombre m representatif d'un message, 
0<ni<ii, a un deuxieme dispositif (B), ledit proc6d6 de 
chiffrement comprenant les etapes suivantes : 

- utilisation des parametres de la cle publique (ne.gs) 
du deuxieme dispositif (B) pour assigner aux parametres n 
et g, les valeurs de la cle publique (nB.gs) 

- calcul du cryptogramme c = g"mod n^ , 

ledit cryptogramme c etant ensuite transmis sur le 
canal de communication vers le deuxieme dispositif. 

3 . Systeme selon la revendication 2 , caract6rise en 
ce que le dispositif mettant en oeuvre le precede de 
chiffrement comprend en outre un gen6rateur • (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

-calcule le cryptogramme c en effectuant le calcul de 
chiffrement suivant: c = g™'^"''mod(n^), 

4 . Systeme selon la revendication 2, caract6rise en 
ce que le dispositif mettant en oeuvre le procede de 
chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

-calcule le cryptogramme c en effectuant le calcul de 
chiffrement suivant: c = g"'r"mod(n^) . 

5 . Systeme selon la revendication 4, caracterise en 
ce que le deuxieme dispositif (B) met en oeuvre un 
procede de dechi ffrement, pour dechiffrer ledit 
cryptogramme c, et qui comprend la realisation du calcul 

m= logn(c^^"5mod n').log„(g^(">mod n^)*^ mod n 

x-1 
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ou loe-Cx') = 



X etant un entier quelconque. 

6 - Systeme selon la revendication 5, caracterise en 
ce qu'un dispositif (B) mettant en oeuvre ledit precede de 
dechiffrement, precalcule la quantite : 

ctn.g= logn(g^^"^mod n^)'^ modn 

et la conserve secretement dans la zone securisee de 
la memoire programme, x etant un entier quelconque. 

7 . Systeme selon la revendication 5, caracterise en 
ce que dans une instance dudit procede de dechiffrement 
un dispositif effectue les. 6tapes de calcul suivantes, 
utilisant le Theoreme du Reste Chinois TRC : 

mp = logp(cP-'mod p^).logp(gP-Vod p')-^mod p. 
mq=logq(c''-'mod q^).logq(g''-'mod q^)-'mod q. 
m = TRC(mp,mq,p,q) , ou logp et logq sont tels que 
x-1 

Iogi(x)= 



X etant un entier quelconque. 

8 . Systeme selon la revendication 7, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement precalcule les quantites suivantes 

c'p,g= logp(g'"'mod p^ mod p et 

C'q.g = logq(g''"'mod q ^ mod q. 

et les conserve secretement dans la zone securis6e de 
la memoire programme. 

9 . Systeme de communication cryptographique a 
cles publique et priv6e generees selon la revendication 1, 
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comprenant un canal de communication (20) et des 
dispositifs communiquant (A,B). chaque dispositif 
comprenant une interface de communication (11), des 
moyens de traitement de donnees (10) et des moyens de 
5 memorisation (12, 13), caracterise en ce qu'un precede de 
chiffrement est mis en oeuvre dans un premier dispositif 
(A) pour envoyer un nombre m representatif d'un message, 
0<m< , a un deuxieme dispositif (B), ledit precede de 
chiffrement comprenant les etapes suivantes : 

- utilisation des paramfetres de la cle publique 
KB=(nB,gB) du deuxieme dispositif (B) pour assigner aux 
parametres n et g les valeurs de la cle publique (na, gs). 

- et realisation des calculs suivants : 

1 . mi =m mod n 
15 2. m2 = (m-ml)/n 

3. c = g'"' m2" mod n^. 

iedit cryptogramme c etant transmis sur le canal de 
communication vers le deuxieme dispositif. 

Systeme selon la revendication 9, caracterise en 

ce que en ce que le deuxieme dispositif (B) re9oit le 

cryptogramme c et met en oeuvre un precede de 

dechiffrement, pour d6chiffrer ledit cryptogramme ui 
comprend la realisation des etapes suivantes de calcul : 

25 1. m,=log„(c^<"> mod n^ ).log„(g^("> mod n^ y' mod n. 

2. w = cg""^ mod n . 

•3 _ _„,l/n mod ^(n) , 

J . m2— w ' mod n . 

4. m = m, + nm2. 



30 



11. Systeme selon la revendication 10, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit precede de 
dechiffrement, precalcule les quantit6s suivantes : 

an.g=log„(g^("^ mod n^)-' mod n et 

yn= 1/n mod X,(n) 
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et les conserve secretement dans la zone securisee de 
la memoire programme. 

12 . Systeme selon la revendication 10, caracterise en 
5 ce que dans une instance dudit precede de d6chiffrement, 

un dispositif effectue les etapes de calcul suivant, en 
utilisant le Theoreme du Reste Chinois : 

1. mi.p=logp(cP-^ mod p^).logp(gP-^ mod p^)-' mod p . 

2. Wp = cg-"'^"'' mod p - 

10 3. m2.p=wp>''' mod p. 

4. mi.q=logq(c''-^ mod q^).logq(g*'-^ mod q^)"' mod q 

5. Wq=cg-'"'''» mod q 

6. m2,q=Wq^"' mod q 

7. m, = TRC(mi,p,m2.p,p,q). 
15 8. m2 = TRC(mi.q,m2.<,,p,q). 

9. m = mi + pqma . oii logp et log, sont tels que 
x-1 

logiCx)= 

i 

13 . Systeme selon la revendication 12, caracterise en 
ce que dans une instance dudit procede de dechiffrement, 

20 un dispositif precalcule les quantites suivantes : 

ap,g=logp(g''"^ mod p^)'^ mod p 

c^q.g^logqCg""^ mod q^)'^ mod q 

Yp= 1/q mod p-1 

Yq= 1/p mod q-1 
25 et les conserve secretement dans la zone memoire 

securisee de la memoire programme. 

14 . Systeme selon I'une quelconque des 
revendications 10 k 13, dans lequel le procede de 

30 dechiffrement est utilise pour calculer la signature s d'un 
message m et le procede de chiffrement est utilise pour 
verifier ladite signature. 
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15- Systeme de communication cryp tographi que a 
cl6s publique et privee generees selon la revendication 1, 
comprenant un canal de communication (20) et des 
5 dispositifs communiquant (A, B), chaque dispositif 
comprenant une interface de communication (11), des 
moyens de traitement de donnees (10) et des moyens de 
memorisation (12, 13), caracterise en ce qu'un precede de 
chiffrement est mis en oeuvre dans un premier dispositif 
10 (A) pour envoyer un nombre m representatif d'un 
message, 0<m<n, a un deuxieme dispositif (B), ledit 
precede de chiffrement comprenant les etapes suivantes : 

- utilisation des parametres de la cle publique (n,g) ^ 
du deuxieme dispositif (B) pour assigner aux parametres n 

15 et g les valeurs de la cle publique (ub, gs), 

- calcul du cryptogramme c ^g'^mod n^, 

ledit cryptogramme c etant ensuite transmis sur le 
canal de communication vers le deuxieme dispositif. 

20 16 . Systeme selon la revendication 15, caracterise en 

ce que le deuxieme dispositif met en oeuvre le precede de 
chiffrement comprenant en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

- effectue le tirage d'un nombre entier aleatoire r, 

25 puis, 

- calcule le cryptogramme c en effectuant le calcul de 
chiffrement suivant : c = g"^"^"^mo d(n^) 

17. Systeme selon la revendication 15 ou 16, 
30 caracterise en ce que le deuxieme dispositif met en oeuvre 
un precede de dechiffrement du cryptogramme re9u c, 
comprenant la realisation du calcul suivant : 

m= logn(c''mod n^).log(g"mod n^)'^ mod n. 



FEUILLE MODIFI E 



THIS PAGE BLANK (uspto) 



•02-03-2001 A 28 ^ FR 009902918 



10 



15 



20 



18. Precede selon la revendicati on 17, caracterise 
en ce qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement precalcule la quantite : 

3n,g=log„(g"modn^)'^ mod n 

et la conserve secretement dans la zone securise de la 
memoire programme. 

19. Systeme selon la revendication 17, caracterise 
en ce que dans une instance dudit procede de 
dechiffrement, un dispositif effectue les etapes de calcul 
suivantes, en utilisant le Theordme du reste chinois : 

1. mp=rlogp(c" mod p^).logp(g" mod p^)"' mod p. 

2. m, = log,(c" mod q').logq(g" mod q") "'mod q. 

3. m =TRC(mp,mq,p,q), ou logp et log, sent tels que 

. x-1 
logi(x)= 



X etant en entier quelconque^. 

20. Systeme selon la revendication 19, caracterise 
en ce qu'un dispositif mettant en oeuvre ledit proc6de de 
dechiffrement precalcule les quantites suivantes : 

Pp.g=logn(g" mod p^) mod p 

Pq.g==iogn(g" mod q^)"' mod q 

et les conserve secretement dans la zone securisee de 
la memoire programme. 
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